レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

204 ：(^ー^*)ノ〜さん ：07/12/25 20:47 ID:uDWTbLJJ0

>>202
>カスペのオンラインスキャンでも検出されませんでした…

可能性は幾つかある。
１．入手前に切断したので、PCに入っていない（安全）
２．入手してしまったけど、新種(差し替えられて)なので検知できなかった（危険）
３．以下、可能性の低い条件の為、検知できなかった（危険）

安全か危険かは、回線の向こう側の立場からは判断できない。
よって、危険であると仮定して対応することを勧めることしかできない。OS入れなおしてらー。
勿論、安全である可能性を信じて、【自己責任】で使い続けるのは自由ですがね。

>ひょっとすると差し替えられ？

その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」
この辺の話題は、セキュスレでやった方がいいのかな？

・踏んだタイミングと、検証者（いるなら）の検体入手タイミングは異なるので
　同じである事の保証はできない。
・差し替えられていないか検証する際にも、最初の検証者と、後の検証者の入手
　タイミングが異なるので、MD5などの同一性を確認する手段が提供されていない限り
　差し替えられたことの確認は困難。（同じ検出名でも差し変わっている可能性がある）
・仮に、最初の検証者が、検体を保存しておいて、改めて入手した物が同じであることを
　確認しても、その間に差し替えがあった可能性は否定できない。つまり、現時点で
　同一性が確認されたとしても、質問者が踏んだ時のタイミングでも同じであったことは
　保証できない。

仮に、「手間をかけて検体を入手し」「検出名が同じor最初の検体と比較して同一」で
あることが確認できたとしても、相談者の環境で踏んだものと同じことは保証できない。

踏んだアドレスの内容がどのようなものであったかの報告は、相談者が
「自己責任で判断する参考資料でしかない。
（勿論、セキュリティベンダーに提出して対応して貰うこと等の副次的影響力は別として）

参考資料でしかない情報の為に、「誤クリックで発動させてしまう危険」
「検体入手の為に、一時的にセキュリティを緩めざるを得ない危険」
「比較確認の為の手間」を、検証者に負担させることは、実に割に合わない行為だろう。

205 ：(^ー^*)ノ〜さん ：07/12/25 21:20 ID:uDWTbLJJ0

>>202
>>ひょっとすると差し替えられ？
>その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」

と、だけ言っていても仕方ないので確認してきました。
ファイル構造、呼び出し方法は同じ。
但し、f2.exeの検出名が変化していましたので、差し替えは行われているようです。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

12/8時点
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.fcj
reak■exe : Trojan-PSW.Win32.Magania.bph

12/21時点 >>172
index1■htm : >Trojan-Downloader.JS.Agent.anp
send■exe : >Trojan-PSW.Win32.Delf.aih
f2■exe : >Trojan-PSW.Win32.OnLineGames.kak
reak■exe : >Trojan-PSW.Win32.Magania.bph

12/25時点
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

現時点では、カスペで全弾撃墜しておりますが、202さんが踏んだ時点の代物が
検出可能なものであるかどうかは保証しかねます。
自己責任でそのまま使うかどうかの参考情報として報告しておきます。

ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

read.cgi ver5.26 + n2 (02/10/01)