パスワードを忘れた? アカウント作成
Close
156456 journal

plutoの日記: バリバリー!

日記 by pluto

わたし女だけど彼氏のセキュリティ対策ソフトがカスペルスキーだった。
     ∧_∧
     ( ゚ω゚ ) 新型は任せろー
 バリバリCGl丶l丶
     /  (   ) ステキ!
     (ノ ̄と、 i
        しーJ

行間広くてちょっとおかしくなるけど脳内補完で。バリバリ検出するよ!

新型発生に関するたれこみはボツでした><

そして前回のAvira判定結果は以下。

post_config.php MALWARE JS/Gumblar.X.3
regions.php MALWARE JS/Gumblar.X.4

個別定義で返ってきました。
VirusTotalによるとComodoも個別なのかな。
それぞれ再鑑定結果。
paranormal.php [13/41]
http://www.virustotal.com/jp/analisis/a9be06660025066051cdfb588acae4f56535b35f14ed905fee9d0c4527613083-1256286473
post_config.php [11/41]
http://www.virustotal.com/jp/analisis/031ef47a31c05bd6fe3c1b36669eadc3d79b8dd905d3ec1bcfd2e611939a4c9d-1256286743
regions.php [9/41]
http://www.virustotal.com/jp/analisis/faf89844fbaee4744236dbe11eb0a788dd7651d78503f7b6f6d8cac2cf42b416-1256287197
styles.php [5/41] Aviraも白だがほかも白判定多い?
http://www.virustotal.com/jp/analisis/daf706d6bbd9c47b0eff7dcfc486d5810b2b3ffc2a1081319df1806804af4b0c-1256287380

McAfee-GW-EditionてAviraと同じ?カスペルスキーはたまに[x]じゃなくて[w]判定。これは時期の差かな。
初期が[w]で後発安定型が[x]?
対応エンジンが増えたように見えますが個別定義(このファイルのみ)が多いようです。
スクリプトファイルはランダム生成なのでこれではまだ不完全です。

どういうことかというと、つまりこうなります。
以下は懲りずにまた新しく取ってきたもの。

verhor1.php 30067 bytes [3/41] IE6
http://www.virustotal.com/jp/analisis/8be8f197712ee4667f69c614eb52cfa506c7a2488e122ec09643bcf02f46b62a-1256288042

index2.php 1922 bytes [1/41]
http://www.virustotal.com/jp/analisis/e12ccc5843afa94446fd90844e3fc2d27f07c4b4fb706d5bc241ce3ad48be153-1256289779

regions.php 7276 bytes [1/41] IE7
http://www.virustotal.com/jp/analisis/aa5ec951bbb1976b18c49a07e691e12d805ebc0fc315745711ec92e47e86a2ae-1256290748

regions.php 784 bytes [1/41] Firefox
http://www.virustotal.com/jp/analisis/e181c961a5c7054ca626c00afe5d641150a0f74d44caa0a546010f4399073093-1256306802

どうもPHPファイルにいくつかバージョンがあるようで。たしかにいろんなところにばら撒いているのでそういう差もありそうですね。
index2.phpはUserAgent問わず同じようなサイズのファイルが落ちてきました。
ところがregions.phpの振り分けはかなり細かい模様。
Win XPの場合、IE6,7,8でそれぞれ異なったパターンで落ちてきました。
IE6が30KBくらいになるのは同じで、IE7は7KB、IE8は1.9KB、Firefoxは0.8KB。
GooglebotやWin7(ブラウザ問わず)には404が返ってきました。

また、index2.php(中国)はIPアドレスによる制限もあったようですがこれは元からなのか不明。

約30KBのサイズ大バージョン(evalのあとに別の関数定義がある)は他のパターンも試したところGData(Avast)、カスペルスキーで検出。
このパターンに関してはGData(Avast)も検出可能な模様。

いろいろ試してみましたがカスペルスキー先生はことごとく検出しました。
マルゼンスキー並の独走を見せるカスペルスキー先生の今後の活躍にご期待ください。
#本体もいけそうな表現

カスペルスキー製品では、現在出まわっている 新型 Gumblar に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。

http://www.kaspersky.co.jp/news?id=207578788

注意:カスペルスキー社員ではありません。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

バリバリー! More

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ