| [2004/08/29] | mailtoストーム。 |
| [2006/04/30] | 無限アラート。これ が閉じても閉じても表示する。タスクの強制終了で脱出。 |
| [2004/12/25] | ウィルス名:VBS_REDLOF.A |
| [2005/12/10] | 再確認。踏むとこんな感じ のサイトだが、ウィルス名:VBS_REDLOF.A.GEN を検出。 |
| [2009/12/15] | 再確認。こんな感じ のサイト。ウィルス名:VBS_REDLOF.A.GEN を検出。 |
| [2009/05/30] | ファイルサイズ:222 KB 。バスター無反応だが、他社製ウィルス駆除ソフトによっては反応がある。 |
| [2006/02/22] | 他の方の結果は以下。
「インターネットの在宅ビジネスの紹介ページのようですが、スパイウェア(Win Fixer)をインストールしてこようとしてきます。」 |
| [2006/02/01] | 動画をDLできるページだが、別窓があり、別窓からWinFixer 2005関連のページを表示してウィルス名:ADW_WINFIXER.F を検出。
但し、2回目と3回目の確認では、WinFixer 2005関連の別窓ではなく、広告ページを表示。4回目以降の確認では別窓は表示されなかった。 |
| [2006/02/01] | 他の方の結果は以下の「」内。
「4分29秒の海外のサッカー動画でした。ただ、ダウソページで スパイウェア:WinFixer 2005 のポップが開き、インストールされそうになります。 spybotで DoubleClick の反応もイッパイでした。ダウソするのであれば、ウイルス&スパイウェア対策、セキュリティを強めの設定にしての方がいいと思います。」 |
| [2008/08/16] | ウィルス名:JS_PSYME.CJA 。バスターのログを見るとウィルス名:HTML_ADODB.HB も検出してあった。
このページのソースはほとんどコード変換されていて読みにくく工夫されている。 |
| [2008/08/16] | ウィルス名:TSC_GENCLEAN+TROJ_NUWAR.DQZ |
| [2008/08/16] | こんな感じ のサイトだが、ウィルス名:JS_PSYME.CJA を検出。
さらに以下の @ のファイルをDLしろ、と催促してくる。また、ActiveX の実行も催促してくる。 このページには以下の A のURLが関係している。 @、//s172657252.onlinehome.fr/get_flash_update.exe ← ウィルス名:TSC_GENCLEAN+TROJ_NUWAR.DQZ A、//s172657252.onlinehome.fr/1.html |
| [2006/01/25] | 他の方の結果は以下の「」内。
「スパイウェアのWinFixerインスコを促すページ、ダイアログが開く。広告ページからはDoubleClickのスパイボット反応も出る。」 |
| [2006/02/05] | 踏むと これ を表示。「OK」を押してみると、こんな画面 を表示。同時にウィルス名:ADW_WINFIXER.Fを検出。同時に これ も表示するが、普通に閉じれる。
更に これ や これ や これ や これ や これ や これ を表示し、しきりに「Winfixer」なるものをDLしろ、を言ってくるが、「Winfixer」はスパイウェアなので注意。 |
| [2006/02/05] | 他の方の結果は以下の「」内。
「怪しいプログラムを検出。exeファイルをインストールさせようとしてきます。」 「確かにそのままだと何もないのですが、このウインドウの他にもう一つウインドウが開きます。このウィンドウが曲者で消しても消しても出てくるうざいブラウザで、そのうち怪しいexeファイルをダウンロードさせようとしてきます。」 「次々と他のサイトが開かれる中にWinfixerのページがあるからだと思います。基本はあぷろだみたいな物なんですけど、そんなのが開くのは確かに悪質ですね。」 |
| [2006/02/05] | 踏むと こんな感じ のサイトだが、スパイウェア:WinFixer関連の別窓を表示する。 |
| [2006/02/01] | 動画をDLできるページだが、別窓があり、別窓からWinFixer 2005関連のページを表示してウィルス名:ADW_WINFIXER.F を検出。
但し、2回目と3回目の確認では、WinFixer 2005関連の別窓ではなく、広告ページを表示。4回目以降の確認では別窓は表示されなかった。 |
| [2006/01/25] | 踏むと こんな感じ のサイト。別窓が曲者。別窓は確認するたびに違う。スパイウェアやアドウェア関連の別窓を表示する時もあれば、WinFixer関連の別窓を表示し、ウィルス名:ADW_WINFIXER.F を検出する時もあった。 |
| [2006/01/25] | 他の方の結果は以下の「」内。
「なにか変なものを埋め込もうとします。踏まぬが吉。おそらくツールバーが変わると思われます。」 |
| [2007/06/10] | ウィルス名:JAVA_BYTEVER.AY |
| [2005/10/22] | ウィルス名:TROJ_WINTRIM.BD |
| [2008/09/14] | ウィルス名:TSC_GENCLEAN+PAK_Generic.006
しかし、この「win.css」の実際の正体はウィルス名:EXPL_UPACK.AI と思われる。 |
| [2008/09/14] | ウィルス名:TSC_GENCLEAN+EXPL_UPACK.AI |
| [2008/08/28] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.AE |
| [2008/08/28] | こんな感じ のページだが、ウィルス名:TSC_GENCLEAN+JC_PUPER.BW を検出。 |
| [2008/08/27] | ウィルス名:TSC_GENCLEAN+TROJ_AGENT.AWRZ |
| [2005/09/04] | 踏むと こんな感じのサイト だが、ウィルス名:JS_DLOADER.Iを検出。 |
| [2005/03/30] | 「会員の広場(旧)」という掲示板だが、ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.Cを検出。 |
| [2009/07/03] | 「windows_media_update.exe」ファイルが落ちてくる。ファイルサイズ:184 KB 。
バスター無反応だが、他社製ウィルス駆除ソフトによっては反応がある。 |
| [2008/09/11] | Location ヘッダで、以下のURLに飛ぶので、そちらのURL List解説を参照。
//googlescanners-360.com/2009/1/_freescan.php?id=77025301 |
| [2006/12/25] | こんな感じ のサイトだが、ウィルス名:VBS_REDLOF.A に感染している。 |
| [2008/09/17] | 以下のURLに飛ぶので、そちらのURL List解説を参照。
//scan-ia.com/19/?uid=152&in=1&xx=1&end=1&g=1&h=0&ag=1 |
| [2008/09/17] | こんな感じ のページ。 確認してみると、まず これ を表示。「OK」を押すと次に これ を表示。 これ では、「OK」を選ぶと以下のファイルをDLしろ、と催促してくる。 「キャンセル」を選ぶと何も無いが、少し経つと これ を表示する。 これ では、「OK」を選ぶと以下のファイルをDLしろ、と催促してくる。 「キャンセル」を選ぶと再び これ を表示、再び「キャンセル」を選ぶと再び これ を表示する。 結局、これ は「OK」を選ぶしかないようになっている。 また、このサイトは普通に閉じれる。 −−−−−−−−−−−−−−−−−−−− //scan-ia.com/download/IAInstall.exe |
| [2008/09/17] | バスター無反応だが、以下のウィルス駆除ソフトで反応。
AVG → 2008.09.16 Win32/Heur Microsoft → Program:Win32/InternetAntivirus Webwasher-Gateway → Win32.Malware.gen (suspicious) |
| [2005/09/11] | − 2chでの結果を記載 −
実行するとマウスカーソルが分裂するジョークソフト。 それ以上の悪さはないので、遊びとして笑って済ませられる人にだけ無害。 |
| [2008/09/16] | 2008/09/07 にトレンドマイクロ社にファイルを提出。
2008/09/15 に その結果の連絡があり、ウィルス名:TROJ_FAKEALER.UE として検出するよう対応、とのこと。 実際に 2008/09/07 にDLしたファイルからウィルス名:TROJ_FAKEALER.UE を検出することを確認。 しかし、今日改めて当該URLを調べてみると404 になっていた。 |
| [2008/12/26] | こんな感じ のサイト。インチキセキュリティサイトと思われる。 |
| [2006/05/15] | ソースチェッカーでは以下のように診断される。
危険!mailtoストームを発見! (397) 危険!FDDアタックを発見!(1) 危険!無限ループを発見! (2) 危険!ニュースストームを発見! (3) 危険!Telnetストームを発見! (3) 実際に踏んでみると、「アーッヒャッヒャッヒャ!!」というタイトルのページを表示するが、mailtoストームを発動。 次々と開くメールウィンドウをAlt+F4押しっぱなしで処理している途中に //dms100.org/worksucks を全画面表示。 但し、//dms100.org/worksucks は以前はブラクラだったが、現在ではブラクラでは無くなっている。 また、//dms100.org/worksucks は真っ白で小さなウィンドウを別窓で表示する。 //dms100.org/worksucks と真っ白で小さなウィンドウは普通に閉じれる。その間にもmailtoストームを発動し続けている。 暫くして、Alt+F4押しっぱなししていると、今度は「about:blank」の無限ウィンドウオープンが始まる。 キリが無いと判断し、タスクの強制終了で脱出。これまでの過程ではバスター無反応。 |
| [2005/12/22] | 踏むと こんな感じ のサイトだが、ノートンでウィルス名:VBS.Redlof.Bを検出するらしい。ウィルスバスター2006では無反応。
ソースを見ると確かにVBScriptで書かれているが、今までのVBS_REDLOF.A等のソースとは違う模様。 |
| [2005/12/22] | 他の方の結果は以下の「」内。
「goドメインなのでたぶんタイ政府関係のページだと思うんですが、私の環境ではノートンがVBS.Redlof.Bを検出しました。誤反応だと思うんですが一応注意です。あと、タイ語?で書かれているので読めない人は踏んでもあまり意味ないと思います。」 「VBS.Redlof.Bに複数感染してるみたいです。PC有害に訂正します。すみません。発症した場合、決まった日にWindowsの電源が切れるとかの症状があるみたいです。詳しくは こちら を参照。」 |
| [2004/07/20] | スパイウェアの可能性。レジストリに以下を追加される。
CLSID:11111111-1111-1111-1111-111111111237"codebase="1/deaJP13.exe |
| [2008/10/04] | ウィルス名:TROJ_TIBS.BAD |
| [2006/12/09] | 以下の他の方の結果を参照。
「プロンプトが一瞬開きます。現時点で目に見えてかわかることはそれだけです。少しそのままにしてみます。」 「exeが落ちました。実行してみたところ、「SuperCars Screensaver Setup」というもので、インストール途中に Win32/TrojanDownloader.IstBar Win32/TrojanDownloader.Adload.NAY 検出です。 セキュリティーを遮断しインストールを続行したところ、車のスクリーンセーバーがインストールされます。 インストール後セキュリティーをONにしたところ、dr.exe と user32.exe を未知のウイルスとして検出。」 「ダウンロードしてノートン2006でスキャンしたらAdware.Istbarが出てきた。」 |
| [2008/10/04] | ウィルス名:ADW_STUD.AB |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「egaccess4_1058.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.AQ として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.AQ を検出することを確認。 ちなみに「egaccess4_1058.dll」ファイルのサイズは 68.0KB である。 |
| [2006/07/24] | ウィルス名:DIAL_EGCESS.A |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「egaccess4_1062.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.AQ として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.AQ を検出することを確認。 ちなみに「egaccess4_1062.dll」ファイルのサイズは 71.5KB である。 |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「egaccess4_1063.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.AQ として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.AQ を検出することを確認。 ちなみに「egaccess4_1063.dll」ファイルのサイズは 72.5KB である。 |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「svcia32.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があったが、調査したところ、「破損ファイル」とのこと。 いくつかの他社製アンチウィルスソフトではウィルスとして検出するよう対応している。 ちなみに「svcia32.dll」ファイルのサイズは 48.0KB である。 |
| [2006/07/25] | ウィルス名:TROJ_Generic |
| [2006/07/25] | ウィルス名:PE_Generic |
| [2006/07/25] | ウィルス名:DIAL_PASS.A |
| [2006/07/25] | ウィルス名:DIAL_INSTACC.C |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「EGDACCESS_ASPIV4_1064.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.BA として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.BA を検出することを確認。 ちなみに「EGDACCESS_ASPIV4_1064.dll」ファイルのサイズは 74.0KB である。 |
| [2006/07/25] | ウィルス名:DIAL_ACCESS.AF |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「EGDACCESS_ASPIV4_1065.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.BA として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.BA を検出することを確認。 ちなみに「EGDACCESS_ASPIV4_1065.dll」ファイルのサイズは 73.0KB である。 |
| [2006/07/24] | ウィルス名:DIAL_EGROUP.B |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「EGDACCESS_ASPIV4_1072.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.BA として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.BA を検出することを確認。 ちなみに「EGDACCESS_ASPIV4_1072.dll」ファイルのサイズは 74.5KB である。 |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「EGDACCESS_ASPIV4_1073.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.BA として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.BA を検出することを確認。 ちなみに「EGDACCESS_ASPIV4_1073.dll」ファイルのサイズは 75.0KB である。 |
| [2006/07/24] | ウィルス名:DIAL_PORNDIAL.IL |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「sysinetsvc32.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.BE として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.BE を検出することを確認。 ちなみに「sysinetsvc32.dll」ファイルのサイズは 10.0KB である。 |
| [2006/07/25] | ウィルス名:TROJ_Generic |
| [2006/07/25] | ウィルス名:TROJ_P2E.AL |
| [2006/07/25] | ウィルス名:TROJ_Generic |
| [2006/07/24] | ウィルス名:TROJ_P2E.AJ |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「eg_auth_1047.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.AP として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.AP を検出することを確認。 ちなみに「eg_auth_1047.dll」ファイルのサイズは 188KB である。 |
| [2006/08/03] | 2006/07/25 にDL+解凍後の「eg_auth_1048.dll」なるファイルをトレンドマイクロ社に提出。
今日、連絡があり、ウィルス名:DIAL_EGROUP.AP として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_EGROUP.AP を検出することを確認。 ちなみに「eg_auth_1048.dll」ファイルのサイズは 192KB である。 |
| [2006/07/24] | ウィルス名:TROJ_P2E.AO |
| [2008/09/12] | 真っ白なページだが、ウィルス名:TSC_GENCLEAN+HTML_IFRAME.AME を検出。
ソースを見ると、IFRAMEタグで //www.k5dionne.com/ffxmmi を呼び出している。 |
| [2008/09/11] | Location ヘッダで、以下のURLに飛ぶので、そちらのURL List解説を参照。
//googlescanners-360.com/2009/1/_freescan.php?id=77025301 |
| [2007/02/27] | 2007/02/11 にトレンドマイクロ社にファイルを提出。
2007/02/26 にその結果の連絡があり、ウィルス名:TROJ_DLOADER.ITI として検出するよう対応、とのこと。 実際に 2007/02/11 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_DLOADER.ITI を検出することを確認。 2007/02/11 から今日まではファイルは置き換えられていないと推測される。 |
| [2007/04/09] | ウィルス名:EXPL_ANICMOO.GEN |
| [2007/04/09] | ウィルス名:EXPL_ANICMOO.GEN |
| [2006/10/07] | ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y |
| [2008/09/19] | ウィルス名:PAK_Generic.001 |
| [2008/11/19] | 3回ほど確認。3回ともウィルス名:PAK_GENERIC.001 を検出後、別の海外サイトに飛ぶ。
1回目の表示されたURLは以下の @ 。2回目と3回目は以下の A という結果であった。ともにバスター無反応。 @、//www.busquedaavanzada.com/popresults.ap?code=avnz058&ntitle=Contastos A、//www.latinamericancupid.com/Espanol/default.cfm?ovchn=MivaES&ovcpn=Miva+Spain+Mujeres+solteras&ovcrn=contactos&ovtac=ppc |
| [2008/11/19] | DL+解凍すると「MSPCA32.dll」ファイルが現れるが、ウィルス名:PAK_GENERIC.001 を検出。 |
| [2005/10/30] | ファイルサイズ:348KB。バスター無反応。
このツールバー のファイルだが、この中にスパイウェアの一種:アドウェアが含まれているらしい。 以下のアンチウィルスソフトで反応。 ClamAV → Trojan.Downloader.Istbar-162 Dr.Web → Adware.SearchBar Kaspersky Anti-Virus → not-a-virus:AdWare.Win32.Searchbar.a NOD32 → Win32/Adware.Toolbar.Searchbar application VBA32 → AdWare.ToolBar.Searchbar.a |
| [2006/07/27] | ウィルス名:ADW_ELITEBAR.AC |
| [2005/09/27] | ウィルス名:ADW_ELITEBAR.AC |
| [2005/10/22] | ウィルス名:TROJ_STARTPAG.NK |
| [2004/04/16] | //www.raus.de/crashme/に飛ぶ。 |
| [2005/03/19] | 踏むと//www.eroticalservers.net/locked.phpに飛び、ウィルス名:JAVA_BYTEVER.A+DIAL_226.Aを検出。
また、この 別窓1枚 と、こんなセキュリティ警告 あり。 |
| [2005/03/06] | ウィルス名:TROJ_ACONTI.A |
| [2005/03/06] | ウィルス名:TROJ_COLLECTOR.A |
| [2008/08/24] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+JS_DLOAD.BJ を検出。
このページを閉じようとすると これ を表示し、「OK」を選択すると閉じてそれで終わり。 「キャンセル」を選択すると これ を表示し、これを閉じようとすると再び これ を表示する。 |
| [2004/04/09] | IPアドレスが表示され、スパイウエアがインストールされる。ブックマークが追加され、IEがおかしくなる。
XPならばシステムの復元をし、後は手動でブックマークを削除。 |
| [2004/07/10] | スパイウェア憑きの海外二次エロサイトに飛ぶ。 |
| [2008/10/04] | 2重拡張子。ウィルス名:TROJ_SMALL.GWL |
| [2005/10/15] | TELNETストーム。 |
| [2008/10/04] | ウィルス名:JS_PUPER.BW |
| [2008/10/04] | ウィルス名:TROJ_EXCHANGE.AE |
| [2005/06/20] | 海外アダルトサイトだが、ウィルス名:JS_MHTREDIR.P+JAVA_BYTEVER.Aを検出。
別窓で これ を表示するが、画面全体がリンクになっている。 画面をクリックすると//www.errorguard.com/?a=25221-23を新窓表示。 「errorguard」なるソフトを入れろ、のような画面を表示。 |
| [2008/10/04] | ウィルス名:TROJ_EXCHANGE.AF |
| [2006/10/04] | こんな感じ のサイトだが、ウィルス名:EXEL_EXECOD.A を検出。
1回目の確認では、HDDが唸り出し、ウィルス名:EXEL_EXECOD.A を検出。 そしてフリーズして、タスクの強制終了で脱出したが、ウィルスバスターが落ち、ディスクトップに「mit」というMS-DOS実行のショートカットが出来ていた。 そのショートカットを起動すると、「mit」のプロパティ画面が開く。ファイルサイズは 8KB だった。 2回目の確認では、HDDが唸り出し、ウィルス名:EXEL_EXECOD.A を検出。 そしてフリーズして、タスクの強制終了で脱出した。バスターは落ちなかった。「mit」のMS-DOS実行のショートカットも出来ておらず。 ソースを見るとIFRAMEタグで、下のURLを呼び出している。 //installare.net/e/t/ads_nl1.php?b=3020 |
| [2006/10/11] | 他の方の結果では、
「Trojan Horse generic2 EMA を検出したのだが、削除方法解らん上にツールバー乗っ取られた。」 |
| [2006/10/14] | 「seriall.comを鑑定した者ですが、AVG にて Trojan Horse generic2 EMA が検出。
その後、888toolbarに乗っ取られ、mitのMS-DOSショートカットが作成されていました。 そして、C\WINDOWS下に、数字.TEMPやら(失念かも)を十数個作成されました。 スパイウェアの類でしょうかね?駆除ソフトはほとんど反応しませんでしたが・・・。」 「数字.TEMPやら(失念かも)この辺りを検索して思い出しました。 WIN****(4桁の数字).tmpやらWIN****(4桁の数字).tmp.exe(二重拡張子)が生成されるようです。」 「seriall.comを鑑定しましたが、VB2006 は無反応でした。また、そのような挙動も確認されませんでした。 ただ、裏でなにか読み込んでいるような感じは確かにありましたね・・・ ちょいスキャン落ちします [゚д゚]ノシ 」 「seriall.com からリンクしている installare.net に AOL/Kaspersky が大激怒です。 真っ向VML の exploit を突いてきます。 例によって、侵入が防がれると検知もしません。っていうことなんでしょう。」 「seriall.com から間接的につながっている URL です。 【有害】 //installare.net/e/ii.php 添付データとしてexe が降って来ます が、今つながらないorz 有害は間違いないのですが、どなたか検出名をおながいします。」 「落ちてきたファイルは winss32.exe ノートンとVirusuTotalでスキャンしたけどウイルス検出無しでした。」 「もしかして、ゼロバイトですか?やっぱりURL違うのかな。全部読まないといかんか、、」 「あ、わかった!URL の後ろにくっつく文字列があるんだ!! URL を修正すると、これで16KB のexe が降って来ました。 動的にシェルコード生成してるのね、、 ちょっと鑑定しない内に厄介になったもので。」 「いちおう、はじめに読み込まれるexe を通報済みです。 で、この exe が DLL をまずインスコし、さらにそいつが子exe を読みに行くようです。 子のほうの対応はまだまだこれからでしょう。」 「SeriAll.Com - Serials, Keys, Keygen, Cracks」という海外のサイトに飛ばされました。 検索エンジンがありましたが、検索されたものをクリックするとえぇファイルが呼び出されました。 怖いので踏めません・・・他の鑑定士の方をお待ちください。 とりあえずノートン無反応、サイトが濃い緑の原色なので目が疲れます。」 「通報すべきexe の位置は、 //installare.net/e/ii.php********************です。 おそらく、既知のマルウェアダウンローダ(DLL)を、新しい暗号化形式でラップしたもののようです。 このDLLを virustotal /SCAN- にかけると (末尾にゴミデータが付いたままなので検出率は低下の可能性)、 AntiVir 7.2.0.25/20061011 found [HEUR/Malware] BitDefender 7.2/20061011 found [Trojan.Klone.H] Kaspersky 4.0.2.24/20061011 found [Packed.Win32.Klone.g] McAfee 4871/20061011 found [BackDoor-CVT] Panda 9.0.0.4/20061011 found [Suspicious file] TheHacker 6.0.1.095/20061011 found [Trojan/Klone] となります。 内容は、さらにマルウェアを動的にダウンロードする性質のもののため、システム改変の詳細は予測できないものとなります。」 「サイズを再調整して再検しても検出結果は変わらないようです。 このラッパはCryptoAPI を使っており、プロセスオーナの権限が不足していると感染もしませんが、有害の証明もできません。 (デコードに失敗すると、静かに終了してしまいます) Users 権限で実行し、0x4011c7 で停止させると、offset 0x401393, size 0x3E00 のDLL を抽出できます。これが実体。 この評価に用いたPE イメージは18160バイト、 MD5SUM: 8B4933C52B92C9357876538A2E10F329 です。」 「炎狐固まったので強制終了。JaneViewのビューワからみたらcrack系のブツがあるっぽい。」 |
| [2006/11/09] | 2006/11/07 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DLOADER.GUN として検出するよう対応、とのこと。 実際に 2006/11/07 にDLしたファイルからウィルス名:TROJ_DLOADER.GUN を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:TROJ_DLOADER.GUN を検出することを確認。 |
| [2005/06/20] | 「adv11.exe」という名のファイルが落ちてくる。
バスター無反応だが、以下のアンチウィルスソフトで反応。 AntiVir → TR/Dldr.Delf.KS.2 Avast → Win32:Trojan-gen. AVG Antivirus → Dropper.Small.13.BI BitDefender → Dropped:Trojan.Downloader.Delf.DG ClamAV → Trojan.Downloader.Tibser-2 Dr.Web → Trojan.MulDrop.1504 Fortinet → W32/Small.ZF-tr Kaspersky Anti-Virus → Trojan-Dropper.Win32.Small.rd NOD32 → Win32/TrojanDropper.Small.RD Norman Virus Control → W32/Smalldrp.CIO VBA32 → Trojan-Dropper.Win32.Small.rd |
| [2005/06/18] | ウィルス名:HTML_MHTREDIR.AP+JS_PSYME.AF+HTML_REDIR.A+JAVA_BYTEVER.A+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1
しかし、何回か時間を変えて確認してみると上記ウィルスの中でも検出されるものと検出されないものがある。 こんな小窓 を表示する場合もあり。 このURLはIFRAMEタグで以下のURL群を一度に呼び出すが、踏むタイミングにより、呼び出されるURLが2、3、6、7、8、9、10、15、25のみの場合あり。
|
| [2005/06/18] | OBJECTタグで以下の記述がある。要ActiveX。
CLSID:527196a4-b1a3-4647-931d-37ba5af23037 codebase="http://seriousdialer.com/system/soft.php?acc=1118930441&num=23 codebaseのURLに直打ちで行くと何やら文字の羅列のページ。何かある模様。 |
| [2005/06/18] | ウィルス名:HTML_MHTREDIR.AP。IFRAMEタグで下のを呼ぶ。
//seriousdialer.com/system/exploitz/counter.gif |
| [2005/06/18] | ウィルス名:HTML_MHTREDIR.AP |
| [2005/06/18] | ウィルス名:JS_PSYME.AF。ソースの中に暗号化された英数字の長い羅列がある。 |
| [2005/06/18] | ウィルス名:JS_PSYME.AF。scriptタグで下のURLを呼ぶ。
//seriousdialer.com/system/exploitz/dropchm/dating.html |
| [2005/06/18] | 「in.hta」という名のHTML Applicationファイルが落ちてくる。
落ちてきた「in.hta」をIEで開くとVBScriptエラーが発生してそれ以上は進めず。 「in.hta」をメモ帳で開くとVBScriptが仕組んでいることが分かる。 バスター無反応だが、以下のアンチウィルスソフトで反応。 ClamAV → VBS.Psyme.F Kaspersky Anti-Virus → Trojan-Downloader.JS.gen (probable variant) NOD32 → VBS/TrojanDownloader.Psyme.NAN |
| [2005/06/18] | ウィルス名:JAVA_BYTEVER.A |
| [2005/06/18] | ウィルス名:JAVA_BYTEVER.A
APPLET実行で以下の1を、実行後は2を落としてくる。 1、//seriousdialer.com/system/exploitz/java/classload.jar 2、//seriousdialer.com/system/soft.php?acc=1118930441&num=28 |
| [2005/06/18] | 踏むと真っ白なページ。バスター無反応。
OBJECTタグで下のURLを実行しようとしている。 //crazy-toolbar.com/new2/hta.php?account=dimpy |
| [2005/06/18] | 踏むと真っ白なページ。バスター無反応だがexploitがある。 |
| [2005/06/18] | ウィルス名:JAVA_BYTEVER.A |
| [2005/06/18] | ウィルス名:JAVA_BYTEVER.A
APPLET実行で以下の1を、実行後は2を落としてくる。 1、//seriousdialer.com/system/exploitz/new12/classload.jar 2、//seriousdialer.com/system/soft.php?acc=1118930441&num=12 |
| [2005/06/18] | ウィルス名:HTML_REDIR.A |
| [2005/06/18] | ウィルス名:JAVA_BYTEVER.K+JAVA_BYTEVER.A-1 |
| [2005/06/18] | ウィルス名:JAVA_BYTEVER.K+JAVA_BYTEVER.A-1
左上のほうに『 H1 』タグで「 cool :) 」と書かれている。 ソースを見ると下のURLをAPPLET実行しようとしている。 //seriousdialer.com/system/exploitz/new18/Counters.jar |
| [2006/12/01] | 2006/11/23 にトレンドマイクロ社にファイルを提出。
2006/11/28 にその結果の連絡があり、ウィルス名:ADW_PERSONALMO.B として検出するよう対応、とのこと。 実際に 2006/11/23 にDLしたファイルからウィルス名:ADW_PERSONALMO.B を検出することを確認。 しかし、今日改めて当該URLを確認してみると404であった。 |
| [2008/10/16] | 2008/10/07 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_AGENT.ASKG として検出するよう対応、とのこと。 実際に 2008/10/07 にDLしたファイルからウィルス名:TROJ_AGENT.ASKG を検出することを確認。 しかし、今日改めて当該URLを確認してみると 404 になっていた。 |
| [2007/01/13] | ウィルス名:WORM_SOBIG.A |
| [2006/01/20] | //www.sex-kex.com/cgi-bin/tm3/m に飛んで、海外アダルトサイトを表示するが、以下のウィルスを検出。「xpl.wmf」ファイルも落ちてくる。
ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y+TROJ_ANICMOO.X+JAVA_BYTEVER.A+JAVA_BYTEVER.AB+JAVA_BYTEVER.AC ソースを見るとコード変換された部分がある。そこに以下のURLが隠れている。 //game4all.biz/adv/120/new.php |
| [2004/12/29] | ウィルス名:JS_SMALL.D+JAVA_BYTEVER.A |
| [2005/09/12] | ブラクラ並に色々なアダルトサイトが開いていき、ウィルス名:JAVA_BYTEVER.Aを検出。
開いたURL群は以下。もっとあると思われる。重複URLは除外。 //pornlist.us/?wethotgirl.com //www.addictedtoanal.com/galleries.html //www.easypic.org/?sexcity.slutynet.com //www.video-post.org/cgi-bin/tm3/m //sexcity.slutynet.com/main.html //www.wethotgirl.com/?sexcity.slutynet.com //www.easypic.org/out.php?link=movie55 //www.video-post.org/cgi-bin/tm3/l //www.wethotgirl.com/out.php //www.alfasearch.net/ //www.wethotgirl.com/out.php?link=video61 |
| [2005/10/06] | 再確認。踏むとブラクラ並に多くの海外アダルトサイトが開き、多くのウィルスを検出。
検出したウィルス名は以下。 TROJ_DLOADER.XH 、HTML_MHTREDIR.BC 、TROJ_ANICMOO.G 、JAVA_SHINWOW.C 、JS_INOR.AB 、HTML_HTHELP.A 、JAVA_BYTEVER.A 、JAVA_BYTEVER.C 、JAVA_BYTEVER.Q 以下が開いたURL。重複して開いたものも含まれている。放っておけば更に開くと思われる。 //www.porn-database.net/ //awm.wildxs.nl/cgi-bin/gx/memout.cgi?memberid=gx1&linkid=cj //www.sex-kex.com/cgi-bin/tm3/m //www.teens5.com/ //www.xxx-banger.com/ //www.horny-pussy.net/ //picslab.com/?id=38 //all-tgp.org/free/counter.php?tds=good&my_descri=picslab&cons_num=6 //www.sex-kex.com/cgi-bin/tm3/l //all-tgp.org/free/counter.php?tds=good&my_descri=picslab&cons_num=5 //www.pokerglob.com/escorts.php //viplady.ru/start.html //bestproda.com/dildo.php //www.poopsearch.org/inse.php?id=hangall |
| [2006/01/03] | 再確認。海外アダルトサイトだが、画像リンク先でウィルス反応があるらしい。
バスターでは無反応。他アンチウィルスソフトでは Trojan-Downloader.JS.Phel.d 検出するらしい。 |
| [2005/08/26] | 海外アダルトサイトで、このページ自体は無害だが、閉じると//thumbstower.com/?wethotgirl.comを開き、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。 |
| [2007/04/02] | 海外ゲイ系サイト。バスター2007が危険なwebサイトとして警告する。
他の方の結果は以下の「」内。 「McAfee SiteAdvisor で遮断。Exploit.JS.ADODB.Stream.ac を Kaspersky で検出。」 |
| [2006/10/29] | 海外アダルトサイト。バスター無反応だが、Kaspersky でウィルス名:Trojan-Downloader.JS.Inor.a+Constructor.Perl.Msdds.b を検出するらしい。 |
| [2005/10/04] | 海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2008/11/17] | DL+解凍すると、2つのファイルが現れるが、そのうちの「loader.exe」ファイルからウィルス名:TROJ_DLOADBR.GEN を検出。 |
| [2008/11/17] | こんな感じ のサイトだが、ウィルス名:JS_ISTBAR.XH+ADWARE_ISTBAR+DIAL_SAPIR.A+TROJ_DLOADBR.GEN を検出。
このサイトは、'DialerPlatform Limited'からの'Browser Update'アドオンをインストールしようとしている。 |
| [2005/02/24] | //soundpage.by.ru/web/main.htmlに飛び、別窓で この小窓 を表示しながら更に//gb.bbs.ws/book.php?book=xtrimeに飛ぶ。
そこでウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.C+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1を検出。 |
| [2005/10/04] | 海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2006/01/19] |
ランダムで以下のどれかのURLに飛ぶ。ほとんどのURLでウィルスを検出する。
|
| [2005/09/03] | 踏むと海外アダルトサイトだが、ブラクラ並に色々なアダルトサイトが開き、ウィルス名:JS_DLOADER.Iを検出。
以下はブラクラ並に開いたURL群。この順番で開いたが、重複URLは除外してある。放っておくと更に開く。恐らく他のURLもあると思われる。
|
| [2006/01/22] | 他の方の結果は以下の「」内。
「洋エロサイトに逝きました 漏れの環境では画像リンク先などは INVALID USER ID ERROR ! と表示されます。」 |
| [2007/04/03] | 以下のURLに飛び、海外のリンクページ?を表示する。バスター2007が危険なwebサイトとして警告する。
//easysmartfind.net/search.php?q=gambling+forums |
| [2006/08/29] | 2006/08/22 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BNL として検出するよう対応、とのこと。 2006/08/22 にDLしたファイルからウィルス名:CHM_DROPPER.BNL を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BNL を検出することを確認。 |
| [2005/06/10] | ウィルス名:SPYW_MORWILBAR.A+TROJ_DOMCOM.D+JAVA_BYTEVER.A+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1
このセキュリティ警告 を表示、拒否すると この小窓 を表示する。 「OK」を押すとウィルス名:TROJ_DOMCOM.Dを検出すると同時に再びセキュリティ警告表示。以降、セキュリティ警告→小窓→ウィルス検出、の繰り返し。 このサイトはIFRAMEタグで以下の4つのURLを呼び出す。それぞれのURL解説を参照。 //99fh.com/~red/tb/i.php //morwillsearch.com/mwsbar.php?adv_id=37563 //toolbarpartner.com/in.php?wm=Filin //qck.cc/x/in.php?wm=0407 |
| [2004/06/18] | 環境により、スパイウェアを仕込まされる。 |
| [2004/09/28] | 「厨房ホイホイ」という//www.hellplant.org/cgi-bin/xoor/serpent.cgiと同じもの。 |
| [2005/05/12] | 1回目のみウィルス名:JAVA_BYTEVER.Aを検出。2回目以降の確認ではウィルス未検出。 |
| [2006/11/11] | 海外アダルトサイト。バスター無反応だが、Kaspersky で Trojan-Downloader.JS.gen を検出するらしい。
ソースを見ると、IFRAMEタグで下のURLを呼び出しているが、下のURLのソースはコード変換されている。 //sexyfaceplace.com/y/ |
| [2005/07/31] | //sexyl.bidrunk.com/cj_out.phpをブラクラ並に開いていく。 |
| [2005/07/31] | ウィルス名:JAVA_BYTEVER.A |
| [2008/08/29] | 昨日[2008/08/28]、DLしたファイルに今日になってウィルス名:TROJ_CRYPT.CX を検出。
しかし、今日改めて当該URLを見てみると 404 になっていた。 |
| [2005/02/02] | ウィルス名:JAVA_BYTEVER.A |
| [2005/06/16] | 海外アダルトサイトだが、ウィルス名:TROJ_ANICMOO.F+JAVA_BYTEVER.A を検出。
IFRAMEタグで以下の2つのURLを呼び出す。 //afris.biz/first/a0/ //afris.biz/first/ |
| [2006/01/21] | 改めて確認。ウィルス名:TROJ_NASCENE.Y+EXPL_WMF.GEN
//1800-search.com/closed.php に飛ぶので、そちらのURL List解説を参照。 |
| [2005/06/26] | jpg画像ではなく、海外アダルトサイトで、ウィルス名:TROJ_ANICMOO.F+JAVA_BYTEVER.A を検出。 TROJ_ANICMOO.F は連発して検出。
IFRAMEタグで以下の2つのURLを呼び出す。 //afris.biz/first/a0/ //afris.biz/first/ |
| [2005/06/26] | 「sex.ani」というアニメーションポインタファイルが落ちてくるが、ウィルス名:TROJ_ANICMOO.F に感染している。
感染活動を行わない不正プログラムだが、最新のIEバッチで対応済み。 |
| [2005/12/14] | メディアプレーヤーのアイコンをしたアプリケーションが落ちてくる。
バスター無反応だが、以下のアンチウィルスソフトで反応。 ArcaVir → Trojan.Psw.Kapod.N Dr.Web → Trojan.PWS.MailSnd Kaspersky → Trojan-PSW.Win32.Kapod.n NOD32 → a variant of Win32/Tsipe VBA32 → Trojan-PSW.Win32.Kapod.n |
| [2009/02/18] | 偽装セキュリティサイトと思われる。
確認してみると、まず、これ を表示する。「OK」を選ぶと、何やらスキャンが始まる。 その後、これ を表示する。これも「OK」を選ぶと、こんな感じ のページに落ち着く。 その後、「SystemGuard2009.exe」ファイルをDLしろ、と催促してくるが、このファイルからウィルス名:TROJ_FAKEAV.ALQ を検出。 なお、このファイルのDLのURLは以下の @ であると思われるが、ウィルスバスターのログを見ると、以下の A であった。何回か確認すると稀に B もログに記録してあった。 @、//dlsg09.com/sysgd09/install.php?track_id=10001 A、//78.159.99.58/sysgd09/install.php?track_id=10001 B、//78.159.96.253/sysgd09/install.php?track_id=10001 |
| [2009/02/18] | 他の方の結果は以下の「」内。
「偽装セキュリティ関係のスキャンページに逝きました。アラートなどが表示され、閉じた後の偽の小窓リンクと閉じようとしてクリックするとexeファイルをダウンさせられます。」 「Firefox on Linuxで踏んでみた。リンクをクリックするとトロイをダウンできた。ウイルスディレクトリに保存した。念のためHomeディレクトリをウイルススキャンしたが、意識的に保存したウイルス以外検出されなかった。ブラウザの設定も(おそらく)変わっていない。」 「ウィルススキャンに偽装したページ。ファイルが全部で5000しかないってどういうPC……じゃなくて、ろくでもないものをDLさせようとしてくる、と思われます。」 |
| [2008/10/04] | 2重拡張子。ウィルス名:TROJ_AGENT.ALWK |
| [2006/11/16] | //nospamworld.com/1.html に飛び、何かの動画を見れるサイトのよう。
「ivideocodec.589.exe」をDLしろ、と言ってくる。そのURLは下。 //www.ivideocodec.com/download/ivideocodec.589.exe ↑ このexeファイルは不定期的に新しいファイルに置き換えられている。 |
| [2006/11/16] | 他の方の結果は以下。
「コーデックのDLが必要と出ますけど絶対に踏んではいけませんよ。スパイウェアに感染します。ネット関係のレジストリを改ざんされますよ。当方みごとに感染したため 今からHD復元します。」 「補足。 ivideocodec.589.exeが落ちてきますので実行してはいけません。」 「McAfee SiteAdvisorで はねられました。マカフィーの検査では、videosgalleries.comはブラウザに存在する脆弱性を攻撃し、検査用コンピュータに対して不正な変更を実行しようとしました。これは重大なセキュリティの脅威です。パソコンがウイルスに感染する可能性があります。」 「当方もIEで踏みましたが、McAfee SiteAdvisorで はねられました。落としたexeにはマカフィは反応しませんでした。Kaspersky File Scannerでも反応なしでした。」 「ivideocodec.589.exeを実行した後に別のexe(名前は消えた)が実行されるんですよね。タスクマネージャに居座ります。それにSpybotが激しく反応でしたね。しかし時はすでに遅し・・・ でした。IE関連レジはぐちゃぐちゃ。」 |
| [2007/01/27] | 再確認。動画が再生できるらしいが、その前に「playcodecs1163.exe」をDLしろ、と言ってくる。
しかし、「playcodecs1163.exe」はウィルス名:TROJ_ZLOB.BWB である。 |
| [2008/08/10] | マルウェア。バスター無反応だが、他社製アンチウィルスソフトでは反応があると思われる。 |
| [2008/08/14] | 再確認。ウィルス名:TROJ_EXCHANGE.Y |
| [2008/08/10] | 米国の CNN を装ったサイト。こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+HTML_AGENT.AVYZ を検出。
ソースはほとんどコード変換されていて、読みにくいよう工夫されている。その中に以下のファイルが隠れている。 //shem.ru/adobe_flash.exe |
| [2007/05/18] | 2007/05/13 にトレンドマイクロ社に「index.com」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:TSPY_MARAN.MA として検出するよう対応、とのこと。 実際に 2007/05/13 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_MARAN.MA を検出することを確認。 2007/05/13 から今日までのファイルの置き換えは無いと推測される。 |
| [2005/10/15] | ウンコ画像+TELNETストーム。 |
| [2005/10/21] | TELNETストーム。親元のタスクを強制終了で脱出。
他の方の結果は以下の「」内。 「ウンコ画像。しかも何らかのプログラムのダウンロードを要求します。」 「Fセキュアにてウイルス検知。」 「DLの要求がありますが、ウイルスソフト等で接続を拒否しても無限増殖でやられます。対策ソフトがあっても興味本位で のぞかないようにお勧めします。」 |
| [2006/02/22] | 踏むと こんな感じ のサイトだが、ウィルス名:VBS_REDLOF.A-1 を検出。
ソースチェッカーでは以下のように診断される。 「危険!HTML.Redlof.Aを発見! (1) 危険!JS_PSYME.Vを発見! (1) 」 |
| [2006/02/25] | 他の方の結果では「Kaspersky 反応あり。Virus.VBS.Redlof.a 検出。Redlofに感染しているサイトのようです。」 |
| [2005/05/25] | 下のURLに飛ぶ。下のURL解説を参照。
//www1.pimpspace.com/marketa/Hapira/Hapira.html |
| [2008/11/18] | ウィルス名:ADWARE_SIDEFIND |
| [2005/11/13] | 踏むといきなり「FamilyCam40.exe」をDLしろ、と言ってくる。バスター無反応。
このexeは インターネットカメラを経由してインターネット使用をログするファイルらしい。 |
| [2004/11/04] | エロサイトだが何かをインストールして実行しようとする。
ウィンドウを閉じると即座に別のエロサイトをランダムに表示。その中にはウィルス憑きサイト有り。 検出されたウィルス名:JAVA_BYTEVER.A、JAVA_BYTEVER-1、HTML_REDIR.A |
| [2004/12/16] | 何回か踏んでみるとJAVA_BYTEVER.Aのみだったり、JS_SMALL.Dが検出される時もあったりした。 |
| [2008/10/05] | ウィルス名:TROJ_NUWAR.JW |
| [2008/11/05] | 参考のために記載。以下の他の方の結果を参照のこと。
------------------------------------------------------------ SmitFraudFix v2.371 というアプリのようです。 上位アドレスのフランス語を翻訳すると、「この実用性はタイプデスクトップのハイジャック(オフィスの転換)の伝染を訂正する」 となっています。 アダ被 によると「不正インストール型インチキアンチスパイウェアソフトを駆除するツール」とのことです。 WinRAR で解凍するとexeファイルが多数生成されます。VB2008 では反応ありません。 |
| [2006/01/20] | //www.sitesell.biz/cgi-bin/tm3/m に飛んで、海外アダルトサイトを表示するが、以下のウィルスを検出。「xpl.wmf」ファイルも落ちてくる。
ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y+TROJ_ANICMOO.X+JAVA_BYTEVER.A+JAVA_BYTEVER.AB+JAVA_BYTEVER.AC ソースを見るとコード変換された部分がある。そこに以下のURLが隠れている。 //game4all.biz/adv/120/new.php 閉じると 「ALFASEARCH」という検索サイトと、再び //www.sitesell.biz/cgi-bin/tm3/m を開いて、ウィルスを検出。 |
| [2007/03/18] | 海外アダルトリンクページのよう。以下の「」内の他の方の結果を参照。尚、私の環境では閉じても何も無かったが、このURL自体をバスター2007が、危険サイトとして警告する。
「洋エロ系サイトに行きます。閉じると悪質タイプの偽装インチキセキュリティ系ポップが開きます。 AcroRd32.exe が起動しようとするので遮断。 Trojan.Clicker.HTML.Agent を ClamWin で検出。 not-a-virus:Downloader.Win32.WinFixer.m を Kaspersky で検出。」 |
| [2009/01/04] | こんな感じ のサイトだが、ウィルス名:MAL_HIFRM を検出。 |
| [2008/10/05] | ウィルス名:MAL_BANKER |
| [2007/04/05] | ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.AB+JAVA_BYTEVER.AC |
| [2007/04/05] | 真っ白なページだが、ウィルス名:EXPL_ANICMOO.GEN を検出。
Kaspersky では、Exploit.Win32.IMG-ANI.c 、Trojan-Downloader.JS.Agent.bi 、Trojan-Downloader.VBS.Small.dhを 検出するらしい。 |
| [2007/04/10] | 再確認。真っ白なページでソースも何も無かった。
しかし、踏むタイミングにより、何かが存在する可能性もあるので注意。 |
| [2007/04/05] | ウィルス名:EXPL_ANICMOO.GEN |
| [2008/03/22] | ウィルス名:TROJ_ALMANAHE.AC |
| [2008/09/15] | 2008/09/07 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、その結果は「弊社としては正常ファイルとして判断したファイルであり、対応は行わない。」とのこと。 しかし、他の多くのウィルス駆除ソフトでは以下のように反応するようなので要注意。 AhnLab-V3 → Win-Trojan/Baidu.110592 AntiVir → TR/MotePro.A Authentium → W32/Backdoor2.GHO Avast → Win32:Baidubar-B AVG → Downloader.Generic5.BOB BitDefender → Adware.Baidu.Sobar.A CAT-QuickHeal → Trojan.Motepro.o DrWeb → Trojan.Click.4938 Ewido → Downloader.Adload.nep F-Prot → W32/Backdoor2.GHO Fortinet → Adware/Bdsearch GData → Win32:Baidubar-B Ikarus → Trojan-Downloader.Baidubar.A K7AntiVirus → Trojan.Win32.Agent.CKIK McAfee → Generic Downloader.ab Microsoft → Trojan:Win32/MotePro NOD32v2 → Win32/TrojanDownloader.Adload.NEP PCTools → Backdoor.Agent.DTNP Sophos → Troj/MotePro-A VBA32 → Adware-Downloader.Win32.SoBaiduBar ViRobot → 2008.09.12 Trojan.Win32.Clicker.45056.B VirusBuster → Backdoor.Agent.DTNP Webwasher-Gateway → Trojan.MotePro.A |
| [2008/11/19] | ウィルス名:TROJ_RBLAST.DLDR |
| [2008/11/19] | ウィルス名:TROJ_DLOADER.CHX |
| [2005/09/17] | 踏むと こんな感じ のサイトで、このページは無害。
画面中央の「FREE DOWNLOAD」というリンク( ポインタが指している部分 ) をクリックするとダイアログ表示後、「OK」を選択するとツールバーがDL+インストール出来る。 しかし、このツールバーの中にスパイウェアの一種:MALWARE が隠れている。 ツールバーの本体ファイルは以下のURLである。 //www.xxxtoolbar.com/ist/softwares/v4.0/0006_mainstream.cab |
| [2006/10/21] | ウィルス名:ADW_FUNWEB.B 。2回ほど何かをインストールしろ、と言ってくる。
拒否すると、以下のURLに飛ぶ。 //smiley.smileycentral.com/download/rebuttal_fullpage.jhtml |
| [2005/09/11] | このツールバー の圧縮ファイルを落としてくる。
このツールバーの中にスパイウェアの一種:アドウェアが含まれている。 圧縮ファイルをDL+解凍すると、以下の2つのファイルが現れる。 「SmileyWorldInstall.inf」 ← セットアップ情報。 「SHB.DLL」 ← このファイルからアドウェアを検出。以下のアンチウィルスソフトで反応。 ArcaVir → Adware.Toolbar Avast → Win32:Adware-gen. Dr.Web → not a virus Adware.Smiley Kaspersky Anti-Virus → not-a-virus:AdWare.ToolBar.SHBar.a NOD32 → Win32/Adware.Toolbar.SHBar application Norman Virus Control → W32/SHBar.A UNA → Adware.ToolBar.Visua VBA32 → AdWare.ToolBar.SHBar.a |
| [2008/11/19] | ウィルス名:TROJ_AGENT.ACOV |
| [2008/11/19] | ウィルス名:TROJ_AGENT.ACOV |
| [2008/09/07] | ウィルス名:TSC_GENCLEAN+TROJ_AGENT.MSP |
| [2008/07/01] | ウィルス名:TSC_GENCLEAN+TSPY_ONLINEG.CGB |
| [2009/04/06] | 確認すると以下のURLに飛ぶので、そちらのURL List解説を参照。
//www.amigo.in/hahahahahaha/oppai.html |
| [2004/09/18] | //98.to/ili/を呼び、更に//gb.bbs.ws/book.php?book=xbookを呼ぶ。 |
| [2004/09/28] | 掲示板だがスパイウェア:CoolWebSearch系サイトを呼ぶ書き込みがしてある。 |
| [2006/01/25] | バスター無反応だが、AntiVir で Trojan/Dldr.Agent.XG を検出。 |
| [2006/07/26] | バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → TR/Dldr.Agent.XG AVG → Generic.XBB Ikarus → Trojan.DownLoader.4535 このファイルを 2006/07/23 にトレンドマイクロ社に提出。 今日、連絡があり、その結果は以下。 「ツールバーのインストーラで、不正なコードを含まない正常なファイル」とのこと。 |
| [2008/10/06] | 偽装セキュリティサイト。バスター無反応だが、 Kaspersky で not-a-virus:FraudTool.Win32.AntiVirus2008.em を検出するらしい。 |
| [2008/08/29] | ウィルス名:TSC_GENCLEAN+PAK_Generic.003 |
| [2008/08/31] | 2008/08/24 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_ZLOB.IAK として対応、とのこと。 2008/08/24 にDLしたファイルからウィルス名:TROJ_ZLOB.IAK を検出。 しかし、今日改めて当該URLを見てみると 404 になっていた。 |
| [2008/09/16] | 2008/09/07 にトレンドマイクロ社にファイルを提出。
2008/09/15 に その結果の連絡があり、ウィルス名:TROJ_ZLOB.IHZ として検出するよう対応、とのこと。 実際に 2008/09/07 にDLしたファイルからウィルス名:TROJ_ZLOB.IHZ を検出することを確認。 しかし、今日改めて当該URLを調べてみると 404 になっていた。 |
| [2008/10/03] | 404 のページだが、ウィルス名:HTML_LYMPIO.A を検出。 |
| [2005/02/02] | ウィルス名:JAVA_BYTEVER.A |
| [2005/09/18] | 再確認。海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2006/01/21] | 改めて確認。ウィルス名:TROJ_NASCENE.Y+EXPL_WMF.GEN
//1800-search.com/closed.php に飛ぶので、そちらのURL List解説を参照。 |
| [2005/09/05] | 踏むと海外アダルトサイトだが、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。
閉じると//www.dating2u.net/を新窓表示。 |
| [2006/01/12] | ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y 。「as.wmf」をDLしろ、と言ってくる。
ソースを見ると、Location ヘッダで、以下の @ に飛び、更に A に飛ぶ。 @、//1800-search.com/closed.php A、//1800-search.com/as.wmf |
| [2004/03/26] | ウィルス名:JS.Exception.Exploit+Trojan.ByteVerify |
| [2009/05/18] | こんな感じ のサイト。バスター無反応。
しかし、GENOウイルス感染サイトらしい。Vista環境では一応は無害らしいが、XP環境では要注意。 |
| [2004/09/26] | 「SEX LINKS YOUNG LOLITAS」なるサイトだがウィルス名:JS_EXCEPTION.GENを検出。
更に//gb.bbs.ws/book.php?book=xtrimeに飛ぶ。 |
| [2004/08/24] | //gb.bbs.ws/book.php?book=xtrimeに飛ぶ。 |
| [2004/11/06] | ウィルス名:JS_EXCEPTION.GEN。//x.full-tgp.net/?ms.comを呼ぶ。 |
| [2004/06/24] | ウィルス名:JAVA_BYTEVER.A。トロイを仕込まれるサイトに行く。
//soundpage.by.ru/web/dosug/send2.htmlが新ウィンドウで開き、 //x.full-tgp.net/?ms.comと//pdnqs.selfbookmark.info/enter.cgi?id=1259を呼ぶ。 |
| [2004/07/18] | //gb.bbs.ws/book.php?book=xtrimeに飛ぶ。 |
| [2004/07/28] | //x.full-tgp.net/?ms.comと//213.159.117.133/dl/ms.phpを呼ぶ。 |
| [2007/03/11] | about:blank の窓が沢山開くブラクラらしいが、Vista環境では無害。 |
| [2005/04/29] | ウィルス名:JS_PSYME.AF。//www.googkle.com/と同じ現象が起きる。詳細は//www.gookle.com/のURL解説を参照。 |
| [2005/08/29] | スパイウェアサイトと思われる。以下のURLを別窓表示してウィルス名:JAVA_BYTEVER.Aを検出。
//pay-per-search.weekly-pay.com/404.php |
| [2008/11/17] | ウィルス名:TROJ_GENERIC |
| [2008/11/14] | ウイルス名:ADW_YAWSA |
| [2008/11/17] | ウィルス名:TROJ_AGENT.AGMB |
| [2005/08/30] | //spermatrix.com/main.htmに飛んで、ここまで無害と思われるが、閉じるとウィルス名:TROJ_ANICMOO.Eを検出する場合がある。 |
| [2005/03/06] | ウィルス名:TROJ_COCED.236.A |
| [2005/03/06] | ウィルス名:BKDR_NETBUS.170+BKDR_NETBUS.C |
| [2005/11/25] | TELNETストーム。 |
| [2005/11/25] | TELNETストーム。 |
| [2006/09/14] | 2006/09/03 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_SAVENOW.E として検出するよう対応した、とのこと。 2006/09/03 にDLしたファイルからウィルス名:ADW_SAVENOW.E を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:ADW_SAVENOW.E を検出することを確認。 |
| [2005/11/24] | バスター無反応だが、以下のアンチウィルスソフトで反応。
BitDefender → Application.Adware.Savenow.G Kaspersky → AdWare.Win32.SaveNow.bo Dr.Web → Adware.SaveNow McAfee → potentially unwanted program Adware-SaveNow NOD32 → Win32/Adware.SaveNow UNA → Adware.SaveNow |
| [2006/01/29] | 再確認。バスター無反応だが、以下のアンチウィルスソフトで反応。アドウェアが含まれている。
AntiVir → Adware-Spyware/SaveNow.BO.21 adware AVG → Generic.FCE Dr.Web → Adware.SaveNow Fortinet → Adware/SaveNow Kaspersky → Found not-a-virus:AdWare.Win32.SaveNow.bo NOD32 → Win32/Adware.SaveNow application Norman Virus Control → W32/SaveNow.CE UNA → Adware.SaveNow VBA32 → AdWare.Win32.SaveNow.bo |
| [2006/08/27] | 再確認。ウィルス名:ADW_WHENU.B |
| [2006/03/19] | バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Adware-Spyware/SaveNow.BO.28 adware AVG → Generic.FCE Dr.Web → Adware.SaveNow Fortinet → Adware/SaveNow Kaspersky → Found not-a-virus:AdWare.Win32.SaveNow.bo NOD32 → Win32/Adware.SaveNow application UNA → Adware.SaveNow VBA32 → AdWare.Win32.SaveNow.bo |
| [2006/08/27] | 再確認。ウィルス名:ADW_SAVENOW.AW |
| [2006/09/14] | 2006/09/03 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_SAVENOW.AN として検出するよう対応した、とのこと。 2006/09/03 にDLしたファイルからウィルス名:ADW_SAVENOW.AN を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:ADW_SAVENOW.AN を検出することを確認。 |
| [2005/10/22] | ウィルス名:ADW_WEATHERC.A |
| [2006/08/02] | ウィルス名:ADW_WHENUSRCH.D |
| [2008/11/13] | DL+解凍すると以下の2つのファイルが現れるが、ウィルスを検出。
「PersonalDesktopSpy-v2.10-setup.exe」← ウィルス名:SPYW_PDESK.210 「FamilyKeyLogger-setup.exe」← ウィルス名:SPYW_FAMKEY.283 |
| [2005/09/24] | スパイウェア駆除ソフトに見せかけた悪質なスパイウェアを配布するサイト。 こんな感じ のサイトである。 |
| [2005/09/24] | 「Install.exe」という名のアプリケーションが落ちてくるが、実際はスパイウェア駆除ソフトに見せかけた悪質なスパイウェアである。
バスター無反応だが、以下のアンチウィルスソフトで反応。 NOD32 → Win32/Adware.SpySheriff application VBA32 → Application.Win32.Adware.SpySheriff |
| [2008/08/29] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.AF |
| [2008/11/14] | ウィルス名:TROJ_DOWNSPY.A |
| [2008/11/14] | DL+解凍すると「SrngUtil_adtegrity109999_osall_3.0.6」という拡張子不明のファイルが現れるが、ウィルス名:ADWARE_SHOPNAV を検出。 |
| [2008/11/14] | ウィルス名:SPYW_SHOPNAV.I |
| [2008/11/19] | ウィルス名:TROJ_STARTPA.DX |
| [2004/09/12] | //314zdec.biz/sextracker.htmlを呼び、更に//209.8.161.54/connect.cgi?id=897を呼ぶ。
ここでは//209.8.161.54/1/gdnJP897.exeを実行させられ、ウィルス名:DIAL_PLAT.Aを検出。 |
| [2008/12/17] | ウィルス名:DIAL_BXCBA 。スパイウェアの一種である。 |
| [2009/05/21] | こんな感じ のサイトだが、ウィルス名:POSSIBLE_HIFRM-5 を検出。 |
| [2007/02/19] | ウィルス名:TSPY_BANKER.FVD |
| [2006/10/26] | FDDアタック。 |
| [2008/10/13] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。 |
| [2008/10/13] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。
このサイトは、'RealNetworks,Inc.'からの'RealPlayer plug-in for Internet Explorer'アドオンを実行しようとしている。 |
| [2008/10/13] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。 |
| [2008/10/13] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。
このサイトは、'RealNetworks,Inc.'からの'RealPlayer plug-in for Internet Explorer'アドオンを実行しようとしている。 |
| [2008/10/13] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。 |
| [2008/10/13] | 真っ白なページだが、ウィルス名:JS_REAPLAY.B を検出。 |
| [2008/10/13] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。 |
| [2006/04/01] | バスター無反応だが、以下のアンチウィルスソフトで反応。
Kaspersky → Trojan-PSW.Win32.Kapod.o |
| [2006/02/07] | こんな感じ の画像Upload掲示板だが、HDDが唸りだし、ウィルス名:EXPL_WMF.GEN を検出。少し経ってウィルス名:JAVA_BYTEVER.A を検出。
ノートンだと、ウィルス名:Bloodhound.Exploit.56 を検出するらしい。 そのうち、アダルトサイトが開き、それを閉じると これ を表示する。 悪意ある投稿者により、IFRAMEタグを使って、以下のURLを呼び出している。これが原因。 //lol.to/add-gb.php?book=lipizda&action=new&pg=1 |
| [2006/02/09] | 以下は踏まれた方のレス。
「踏んでしまって、サクサク見ていったらウインドウオープンやらダウンロードやらVBが過剰反応しました。 その後 EXPL_WMF.GEN というウイルスをキャッチしましたが駆除できません。 ウインドウオープンも5分に1回ペースで起きています。 ウイルススキャン後ファイル削除等行いましたが未だに解決できず。」 |
| [2004/06/17] | //www.albinoblacksheep.com/flash/you.htmlに飛ぶ。 |
| [2005/08/28] | ウィルス名:TROJ_DYFUCA.D |
| [2006/08/11] | 2006/08/04 にトレンドマイクロ社に「303470.exe」「304348.exe」両ファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DELF.CEQ として検出するよう対応したとのこと。 2006/08/04 にDLした「303470.exe」「304348.exe」両ファイルからウィルス名:DIAL_DELF.CEQ を検出することを確認。 また、改めて当該URL から「303470.exe」「304348.exe」両ファイルをDLしてみてもウィルス名:DIAL_DELF.CEQ を検出することを確認。 |
| [2006/08/03] | 2006/07/25 にトレンドマイクロ社に「304941.exe」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DIALER.FX として対応とのこと。 2006/07/25 にDLしたファイルからウィルス名:DIAL_DIALER.FX を検出することを確認。 また、今日、当該URLからDLしてみてもウィルス名:DIAL_DIALER.FX を検出することを確認。 |
| [2005/06/29] | ウィルス名:ADW_WINAD.X |
| [2008/10/06] | 再確認。DL+解凍すると「MediaAccX.dll」なるファイルが現れるが、ウィルス名:ADW_WINAD.X を検出。 |
| [2005/06/29] | ウィルス名:TROJ_ISTBAR.CF |
| [2007/01/28] | 再確認。ウィルス名:TROJ_ISTBAR.BU |
| [2006/11/30] | ウィルス名:ADW_BETERNET.C |
| [2005/03/06] | ウィルス名:ADW_BINET.B |
| [2005/03/06] | ウィルス名:TROJ_AGENT.FL |
| [2007/04/29] | 2006/12/01 にトレンドマイクロ社にファイルを提出。
2006/12/11 にその結果の連絡があり、ウィルス名:TSPY_DLOADER.DG として検出するよう対応、とのこと。 実際に 2006/12/01 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_DLOADER.DG を検出することを確認。 2006/12/01 から今日までのファイルの置き換えは無いと推測される。 |
| [2005/03/06] | ウィルス名:TROJ_AGENT.AE |
| [2005/03/06] | ウィルス名:TROJ_STUBBY.D |
| [2005/03/06] | ウィルス名:TROJ_REVOP.E |
| [2005/03/02] | ウィルス名:TROJ_ALCHEMIC.A |
| [2005/03/02] | ウィルス名:ADW_ABET.CCA |
| [2006/12/11] | 2006/12/01 の時点でバスター無反応。2006/12/01 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_BETTERINTE.B として検出するよう対応、とのこと。 実際に 2006/12/01 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:ADW_BETTERINTE.B を検出することを確認。 2006/12/01 から今日までのファイルの置き換えは無いと推測される。 |
| [2006/12/08] | 2006/11/29 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_ABETTERIN.BT として検出するよう対応、とのこと。 実際に 2006/11/29 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:ADW_ABETTERIN.BT を検出することを確認。 2006/11/29 から今日まではファイルは置き換えられていないと推測される。 |
| [2006/10/13] | 2006/10/08 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_BETTERINET.F として検出するよう対応、とのこと。 実際に 2006/10/08 にDLしたファイルからウィルス名:ADW_BETTERINET.F を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:ADW_BETTERINET.F を検出することを確認。 |
| [2005/02/28] | ウィルス名:SPYW_BRISS.A |
| [2005/04/04] | ウィルス名:SPYW_DYFUCA.E |
| [2005/04/04] | ウィルス名:ADW_SOLU180.A |
| [2005/04/04] | ウィルス名:ADW_SAHAGENT.F |
| [2005/04/04] | ウィルス名:ADW_SURFKICK.A |
| [2005/04/04] | ウィルス名:ADW_UCMORE.453 |
| [2005/04/04] | ウィルス名:ADW_LOOK2ME.C |
| [2008/12/17] | DL+解凍すると「website.dll」が現れる。ウィルス名:TROJ_AGENT.RTL として検出対応済。 |
| [2005/05/30] | DL+解凍すると「MediaAccX.dll」なるMS-DOSで動作するファイルが現れる。このファイルはスパイウェアの一種のアドウェア。
バスター無反応だが、以下のアンチウィルスソフトでウィルスを検出。 ClamAV → ウィルス名:Adware.Winad-13 Dr.Web → ウィルス名:Adware.Winad Fortinet → ウィルス名:Adware/WinAd Kaspersky → ウィルス名:AdWare.WinAD.ak mks_vir → ウィルス名:.Winad.Ai Norman Virus Control → ウィルス名:W32/MediaAccess.A VBA32 → ウィルス名:AdWare.WinAD.ak |
| [2005/04/24] | ウィルス名:ADW_WINSTATX.A |
| [2005/04/24] | ウィルス名:ADW_WINAD.Q |
| [2005/06/29] | ウィルス名:ADW_WINAD.L |
| [2005/04/23] | ウィルス名:ADW_WINAD.L |
| [2005/07/31] | DL+解凍までバスター無反応。
解凍すると「MediaGatewayX.dll」なるファイルが現れる。このファイルに以下のアンチウィルスソフトが反応。 ArcaVir → Adware.Mediagtw.A1 Avast → Win32:Adan-101 Dr.Web → not a virus Adware.nCase Kaspersky Anti-Virus → not-a-virus:AdWare.WinAD.be UNA → Adware.WinAD VBA32 → AdWare.WinAD.be |
| [2005/04/24] | ウィルス名:ADW_WUPD.A |
| [2006/07/20] | 2006/07/14 にトレンドマイクロ社に解凍して現れた「MediaGatewayX.dll」ファイルを提出。
本日、結果があり、スパイウェアパターンファイル「0.392.26」よりウィルス名:ADW_WINAD.BW として対応とのこと。 当ファイルをDLしてウィルスを検出することを確認。 |
| [2006/07/22] | ウィルス名:ADW_ZANGO.J 。なお、「bridge-c1.cab」の中の数字は 1 から 60 まである。 |
| [2007/01/11] | 2007/01/03 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_ZANGOSA.R として検出するよう対応、とのこと。 実際に 2007/01/03 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:ADW_ZANGOSA.R を検出することを確認。 2007/01/03 から今日までのファイルの置き換えは無いと推測される。 |
| [2007/03/20] | 2007/03/19 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:WORM_ZHELATIN.D として検出するよう対応、とのこと。 実際に 2007/03/19 にDLしたファイルからウィルス名:WORM_ZHELATIN.D を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 恐らく、比較的短期間でファイルの置き換えが行われていると推測される。 |
| [2006/11/27] | 「you are an idiot!」の亜種?。最初に「9999khz」と書かれたページがうろつき回り、それを閉じると6つに分裂する。 |
| [2006/05/27] | 無限ウィンドウオープン。「about:blank」画面が次々と開いていく。タスクの強制終了で脱出可。 |
| [2006/05/27] | 無限ウィンドウオープン。//stelbox82.k-free.net/ ← この画面 が次々と開いていく。タスクの強制終了で脱出可。 |
| [2006/05/27] | mailtoストーム。最初に この画面 を表示し、直後にmailtoストームが始まる。親元のタスクの強制終了で脱出可。 |
| [2006/05/27] | FDDアタック。 |
| [2006/05/27] | conconクラッシャー。しかし、IE最新バッチでは全くの無害。
この画面 で、ソース内に以下の記述がある。 <IMG src="c:\con\con\con"> |
| [2006/05/27] | FDDアタック。 |
| [2006/05/27] | 無限アラート。このアラート が閉じても閉じても開く。タスクの強制終了で脱出可。 |
| [2006/05/27] | 無限ウィンドウオープン。「about:blank」画面が次々と開いていく。タスクの強制終了で脱出可。 |
| [2006/05/27] | 無限ユーザープロンプト表示。このアラート が閉じても閉じても開く。タスクの強制終了で脱出可。 |
| [2006/05/27] | 踏むとまず、これ を表示。「はい」「いいえ」のどちらを選んでも この画面 を表示する。
ソースを見ると、リソース不足に陥れ、PCをフリーズさせようとしている。 |
| [2006/05/27] | 踏むとまず、これ を表示。「はい」「いいえ」のどちらを選んでも この画面 を表示する。
ソースを見ると、リソース不足に陥れ、PCをフリーズさせようとしている。 |
| [2006/05/27] | //www.youareanidiot.org/ に飛び、ブラクラを発動。Alt+F4押しっぱなしで脱出可。 |
| [2006/05/27] | ニュースストーム。アウトルックが開き、ニュースストームが始まる。
ソースを見ると、news://www.1.ne から news://www.488888.ne まで開く仕掛けが施されている。 |
| [2006/05/27] | 踏むと、延々と何かを読み込んで、それが中々終わらない。場合により、リソース不足に陥ると思われる。 |
| [2006/05/27] | ソースを見るとTELNETストームを誘発しようとしているが、直踏みでは何も無し。接続先は //www.warez.com/ となっている。
環境により、TELNETストームが発動するかもしれない。 |
| [2006/05/27] | FDDアタック。 |
| [2006/11/09] | mailtoストーム。FDDアタック。Telnetストーム。 |
| [2008/08/09] | こんな感じ のサイト。ブラクラと思われるが、Vista環境では無害と思われる。 |
| [2009/02/18] | 再確認。ソースチェッカーでは mailtoストーム+FDDアタック と診断される。
こんな感じ のページだが、Vista環境では無害と思われる。 このページのタイトルは「Are you an idiot! (訳:あんた馬鹿ですか?)」である。 |
| [2004/09/03] | ポプアプを許可するとブラクラに飛ぶ。 |
| [2005/11/17] | TELNETストーム。アンチウィルスソフトによってはトロイの木馬として反応する。 |
| [2009/01/20] | こんな感じ のサイトだが、ウィルス名:JS_IFRAME.ZG を検出。 |
| [2009/01/20] | 他の方の結果は以下の「」内。
「バラク・オバマ氏関連の英文ニュースブログと思いきや、記事をクリックするとexeファイルをいきなりDLされます。中身は不正ファイルでした。」 |
| [2004/11/18] | ウィルス名:VBS_HEXBYTE.C+JAVA_BYTEVER.A。SPYBOT反応:Sex List。
最初に踏むと404画面と別窓1つ。どちらも普通に閉じれるが、もう一度踏むと404画面は同じだが、この別窓が次々と増えていき、多くのウィルスを検出。強制終了で脱出。 |
| [2004/03/16] | //www.raus.de/crashme/に飛ぶ。 |
| [2005/03/26] | 踏むと こんな感じの画面。ギコナビ、2ch、の双方から踏んで確認。 |
| [2005/02/28] | //www2.strangeworld.org/uedakana/sahra1354.htmに飛ぶ。 |
| [2006/10/10] | ウィルス名:TROJ_ZLOB.ASW |
| [2006/10/13] | ウィルス名:TROJ_ZLOB.BAN |
| [2006/10/11] | ウィルス名:TROJ_ZLOB.AUT |
| [2006/10/10] | ウィルス名:TROJ_ZLOB.ATQ |
| [2006/10/10] | ウィルス名:TROJ_ZLOB.ATV |
| [2006/10/10] | ウィルス名:TROJ_ZLOB.AWK |
| [2006/10/10] | ウィルス名:TROJ_ZLOB.AWL |
| [2006/10/10] | ウィルス名:TROJ_ZLOB.AWM |
| [2006/10/13] | ウィルス名:TROJ_ZLOB.BAH |
| [2006/10/13] | ウィルス名:TROJ_ZLOB.BAI |
| [2006/10/13] | ウィルス名:TROJ_ZLOB.BAJ |
| [2006/10/13] | ウィルス名:TROJ_ZLOB.BAK |
| [2006/10/13] | ウィルス名:TROJ_ZLOB.BAL |
| [2005/09/07] | 踏むと こんな感じのサイト だが、ウィルス名:JS_DLOADER.Iを複数検出し、その後、ウィルス名:JS_EXCEPTION.GENを検出する。 |
| [2004/09/13] | バナーが無数に画面内を飛び回る。 |
| [2004/11/07] | 404だが別サイトに飛び、ウィルス名:HTML_REDIR.Aを検出。
別窓でエロサイト表示。これを閉じると更に別窓でエロサイト表示。これの繰り返し。 別窓からもウィルス名:HTML_REDIR.Aを検出。 |
| [2005/04/09] | 踏むとウィルス名:HTML_MHTREDIR.APを検出。
そして、別窓が1枚。間髪置いて全画面表示。全画面表示は放っておくと2〜3秒置きに表示される。 その間、これ を表示して「super_porno_freeall_best.pif」なるものをDLさせようとする。 これにはバスター無反応でDLして実行してみても何も変化は無い模様。 |
| [2005/01/07] | ウィルス名:JAVA_BYTEVER.A。環境によりweb.exeなるものをインストールしようとするらしい。 |
| [2004/11/27] | ウィルス名:JS_SHEXPLOIT.A+HTML_REDIR.A+JS_OBJDATA.A+JAVA_BYTEVER.A+JAVA_BYTEVER.A-1+JAVA_BYTEVER.K。
また、ダイヤラーらしきものをDLさせようとしてくる。 |
| [2005/01/15] | 改めて確認すると踏むとまずウィルス名:JS_IFRAMEBO.Aを検出。ページに問題があるらしい。
その後、ウィルス名:JS_OBJDATA.A+HTML_REDIR.Aを検出。 数秒してウィルス名:JAVA_BYTEVER.K+Possible_Virus+JAVA_BYTEVER.A+JAVA_BYTEVER.A-1を検出。 「Smart Search」という検索サイトだが画面左上に「Looking for...」とある。 |
| [2005/05/14] | ウィルス名:JS_IFRAMEBO.A+HTML_REDIR.A+JS_OBJDATA.A+JAVA_BYTEVER.A
踏むと こんな感じ のサイト。 こんな 小窓 を表示するが、「OK」を押しても何も無し。 ソースを見ると暗号化された異なる2つの部分がある。その他、IFRAMEタグで以下の2つのURLを呼び出す。 //63.219.178.91/connect.cgi?id=1344 ← ページが無い模様。 //5sec.biz/acc54/counter.htm ← ウィルス反応有り。詳細はこのURL解説を参照。 |
| [2004/10/31] | 踏むと別窓で全画面表示され、ウィルス名:JAVA_NOCHEAT.Aを検出。 閉じるとSPYBOT反応:XXXToolbar |
| [2005/06/09] | ウィルス名:JAVA_NOCHEAT.A+JAVA_BYTEVER.A+PE_BUBE.A-O+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1
全画面別窓1枚付きの海外アダルトサイト。閉じると更に別窓を表示。 |
| [2004/10/31] | ウィルス名:JAVA_NOCHEAT.A |
| [2006/08/20] | ウィルス名:CHM_PSYME.BE |
| [2005/02/05] | 踏むとセキュリティ警告で何かをインストールしますか?と出る。
ソースを掘っていくと//qck.cc/x/ipreg32.cabをインストールさせようとしているが、このcabからトロイの木馬:Trojan-Downloader.Win32.Domcom.bを検出。 |
| [2004/10/16] | mailtoストーム。FDDアタック。//raus.de/crashme/が新窓で開く。 |
| [2005/11/01] | 「bo2k_1-1-3.zip」ファイルをDL出来る。
DLまでバスター無反応だが、解凍した途端、ウィルス名:BKDR_BO2K.GEN+BKDR_BO2K.112を検出。 |
| [2005/11/01] | このページの下の方は こんな感じ になっている。
「Download」ボタンを押すと下のURLに飛び、「bo2k_1-1-3.zip」ファイルをDL出来る。 //supermaster.bravehost.com/Underground/bo2k_download.html DLまでバスター無反応だが、解凍した途端、ウィルス名:BKDR_BO2K.GEN+BKDR_BO2K.112を検出。 |
| [2006/07/24] | ウィルス名:ADW_WINAD.AF |
| [2005/06/10] | ウィルス名:JS_MHTREDIR.P+JAVA_BYTEVER.A。ただし、何回か確認してみるとJAVA_BYTEVER.Aは検出されない時もある。
ClamWinでウィルス名:Exploit.HTML.MHTRedir-8+Exploit.MS05-001.genを検出。 「Not Found」のページだが、バナーとして表示されている//suzybabe.com/top.phpが有害サーバーに繋がっている。 |
| [2005/11/11] | 2chでの結果は「踏む度に違う洋エロサイトに飛ばされます。ウイルスサイトの場合あり。」
何回か踏んで確認(30回くらい踏んでは確認を繰り返した)すると、以下のどれかにランダムで飛ぶことが分かる。探せばもっとあるかも。
//www.ltds.biz/galleries/tds2/index.htm //www.alolita.com/list/index.html?481 //www.young-top.com/top/index.html?338 私が確認した段階では上記のURLは全てバスター無反応であったが、更に調べるとウィルス憑きサイトを表示するかもしれない。 |
| [2005/07/01] | ウィルス名:JAVA_BYTEVER.A |
| [2005/10/22] | 再確認。海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2006/09/07] | 2006/08/20 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_CODEBASE.DF として検出するよう対応、とのこと。 2006/08/20 にDLしたファイルからウィルス名:CHM_CODEBASE.DF を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:CHM_CODEBASE.DF を検出することを確認。 |
| [2009/01/03] | ウィルス名:CRYP_MANGLED+TSPY_GENERIC |
| [2009/01/03] | ウィルス名:MAL_BANLD-1 |
| [2009/01/03] | ウィルス名:TROJ_GENERIC |
| [2009/01/14] | こんな感じ のサイトだが、ウィルス名:JS_DLOAD.MD+EXPL_ANICMOO.GEN+EXPL_EXECOD.A を検出。
このサイトは、'Microsoft Corporation'からの'Remote Data Services Data Control'アドオンを実行しようとしている。 |
| [2007/04/02] | ウィルス名:TROJ_IECRASH.A |
| [2005/09/20] | スパイウェアサイト。シマンテック社のURLと酷似(//www.symantec.com/)。
踏むと以下の 1. → 2. → 3. の順に飛んでいく。
3. の画面中央の「 Click Here ! 」をクリックすると これ を表示し、以下の 5. をDL出来るが、ウィルス名:TROJ_PROXY.BTを検出。
その後、これ を表示し、クリックしてもしなくても上記の 5. をDLするよう求められる。 |
| [2008/08/26] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.AF |
| [2005/03/07] | ウィルス名:TROJ_IMISERV.C |
