(受動的攻撃)てんこもりサイトを教えて頂きました。ちょうどキングソフトについても試してみたかったのでOnline malware scan と VirusTotal で確認してみました。
あっさり風味です。。あんまり参考にはならないです。
実施日は9/20です。
- ファイル名:adv730.php
-
ちょっとよくわかりませんけど、MS02-015なんでしょうか、あるいは MS05-020あたり?ウイルス情報とか見てるとMS05-020とMS05-026(累積パッチですが)が結構あるみたいです。
AntiVir Found Trojan/Dldr.JS.Inor.a.1 Kaspersky Anti-Virus Found Trojan-Downloader.JS.Inor.a Norman Virus Control Found JS/Exploit_based.D VBA32 Found TrojanDownloader.JS.Psyme.o Avira 6.32.0.3 09.19.2005 TR/Dldr.JS.Inor.a.1 McAfee 4584 09.19.2005 JS/Wonka Norman 5.70.10 09.19.2005 JS/Exploit_based.D VBA32 3.10.4 09.19.2005 TrojanDownloader.JS.Psyme.o
- ファイル名:x12.php
-
おなじみMS04-013です。(もしかしたらMS05-026のうちのどれかなのかも?)
BitDefender Found Exploit.Html.MhtRedir.Gen ClamAV Found Exploit.HTML.MHTRedir.2n Kaspersky Anti-Virus Found Exploit.HTML.Mht (probable variant) Norman Virus Control Found HTML/Exploit_based eTrust-Vet 11.9.1.0 09.19.2005 JS.MHTMLRedir!exploit McAfee 4585 09.19.2005 Exploit-MhtRedir.gen
- ファイル名:z12.chm
-
BitDefender Found Exploit.Html.Codebase.Exec.Gen, Trojan.Small.ALX NOD32 Found a variant of Win32/TrojanDownloader.Small.AWA VBA32 Found Trojan.Downloader.Small.1 (probable variant) CAT-QuickHeal 8.00 09.19.2005 (Suspicious) - DNAScan Sophos 3.97.0 09.19.2005 Troj/CodeBa-Fam
- ファイル名:cursor.anr
-
MS05-002ですね。Windows 98/ME な方でKB891711.exeのスタートアップを外してたりしないかなと、ちょっと心配。
AntiVir Found Exploit/MS05-002.Ani.A BitDefender Found Exploit.Win32.MS05-002.Gen ClamAV Found Exploit.W32.MS05-002 Dr.Web Found Exploit.ANIFile Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Ani.c NOD32 Found Win32/TrojanDownloader.Ani.gen eTrust-Iris 7.1.194.0 09.18.2005 Win32/MS05-002!exploit!Trojan eTrust-Vet 11.9.1.0 09.19.2005 Win32.MS05-002!exploit McAfee 4585 09.19.2005 Exploit-ANIfile Panda 8.02.00 09.19.2005 Exploit/LoadImage Symantec 8.0 09.18.2005 Downloader.Trojan TheHacker 5.8.2.109 09.19.2005 Exploit/ANIfile
- ファイル名:x.chm
-
う〜んと。何だろう(汗)。ActixeX関連ですよね(クルシイカナ)。
ArcaVir Found Trojan.Exploit.Html.Objdata BitDefender Found Exploit.Html.Codebase.Exec.Gen, BehavesLike:Trojan.Downloader (probable variant) ClamAV Found Exploit.HTML.Codebase.Exec.gen-2 Dr.Web Found Trojan.DownLoader.4286 Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Apher.gen, Exploit.HTML.ObjData NOD32 Found probably unknown NewHeur_PE (probable variant) VBA32 Found Win32.Trojan.Downloader (openpass.exe) (probable variant) CAT-QuickHeal 8.00 09.19.2005 (Suspicious) - DNAScan Sophos 3.97.0 09.19.2005 Troj/Codebase-C
- ファイル名:indexcmd.html
-
MS05-001ですね。
ArcaVir Found Trojan.Downloader.Vbs.Phel.E Avast Found VBS:Malware BitDefender Found Exploit.Phel.Gen ClamAV Found Exploit.MS05-001.gen F-Prot Antivirus Found nothing Kaspersky Anti-Virus Found Exploit.VBS.Phel.a eTrust-Vet 11.9.1.0 09.19.2005 HTML.HelpControl!exploit McAfee 4585 09.19.2005 JS/Exploit-HelpXSite
- ファイル名:htm.txt
-
ArcaVir Found Trojan.Exploit.Vbs.Phel.H Avast Found VBS:Malware ClamAV Found VBS.Phel.D Fortinet Found VBS/Psyme.D-tr Kaspersky Anti-Virus Found Exploit.VBS.Phel.a VBA32 Found Exploit.VBS.Phel.a Avast 4.6.695.0 09.19.2005 VBS:Malware ClamAV devel-20050917 09.19.2005 VBS.Phel.D eTrust-Vet 11.9.1.0 09.19.2005 HTML.HelpControl!exploit Fortinet 2.41.0.0 09.07.2005 VBS/Psyme.D-tr Kaspersky 4.0.2.24 09.19.2005 Exploit.VBS.Phel.a McAfee 4585 09.19.2005 JS/Exploit-HelpXSite VBA32 3.10.4 09.19.2005 Exploit.VBS.Phel.a
- ファイル名:bags.htm
-
MS05-026だと思うんですけど・・・
AntiVir Found HTML/Exploit.OBJ-Mht BitDefender Found Exploit.Html.MhtRedir.Gen ClamAV Found Trojan.Downloader.Psyme-3 Fortinet Found HTML/MHTRedir.A Kaspersky Anti-Virus Found Exploit.HTML.Mht (probable variant) Avira 6.32.0.3 09.19.2005 HTML/Exploit.OBJ-Mht eTrust-Vet 11.9.1.0 09.19.2005 VBS.Petch ウイルス情報:Win32.Petch McAfee 4585 09.19.2005 Exploit-MhtRedir.gen Panda 8.02.00 09.19.2005 Exploit/MIE.CHM Symantec 8.0 09.18.2005 Downloader.Psyme TheHacker 5.8.2.109 09.19.2005 VBS/Psyme
- ファイル名:openpass.exe
-
ダウンローダー本体ですね。
AntiVir Found Trojan/Dldr.Small.bnh ArcaVir Found Trojan.Downloader.Small.Bnh Dr.Web Found Trojan.DownLoader.4287 F-Prot Antivirus Found unknown virus (probable variant) Fortinet Found Dloader.G-tr Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Small.bnh NOD32 Found probably unknown NewHeur_PE (probable variant) Norman Virus Control Found W32/DLoader.JAC VBA32 Found Trojan-Downloader.Win32.Small.bnh Avira 6.32.0.3 09.19.2005 TR/Dldr.Small.bnh CAT-QuickHeal 8.00 09.19.2005 TrojanDownloader.Small.bnh McAfee 4585 09.19.2005 Generic Downloader.g Norman 5.70.10 09.19.2005 W32/DLoader.JAC
- ファイル名:12.exe
-
これが本命っぽいバックドアでしょうか。
AntiVir Found Trojan/Dldr.Small.agq.4 BitDefender Found Trojan.Small.ALX Fortinet Found BDoor.AZV-bdr NOD32 Found a variant of Win32/TrojanDownloader.Small.AWA VBA32 Found Trojan.Downloader.Small.1 (probable variant) Avira 6.32.0.3 09.19.2005 TR/Dldr.Small.agq.4 CAT-QuickHeal 8.00 09.19.2005 (Suspicious) - DNAScan McAfee 4584 09.19.2005 BackDoor-AZV BackDoor-AZV Panda 8.02.00 09.19.2005 Bck/Agent.ALX TheHacker 5.8.2.109 09.19.2005 W32/SdBot(2).worm.gen
見ての通りなのですがどれが一番か決められませんね。上記8つは受動的攻撃(つまり不正実行の仕掛け)なので、修正済みのものなら実行されませんね。でも、両方対応してる方が安心かなと思います。
私見ですけど、対応数はダントツだと思われるKaspersky狙いのマルウェアが増えてるように思います。まぁそれでもすぐに対応する場合が殆どみたいですけど。
eTrust について、意外ですが受動的攻撃については「Vet」エンジンの方が対応数が多いのかも。
あくまで、「プチ」テストですけどね。。
あぁ、キングソフトですよね。
検出ゼロでした。
はい。
【追記】ウイルスバスター2005も現在(9/23)のところ、すべて未対応です。
- 【9/29追記】ウイルスバスターの対応
- openpass.exe - TROJ_DLOADER.AEI
- 12.exe - TROJ_AZV.A
- cursor.anr - TROJ_ANICMOO.T
- indexcmd.html - HTML_PHEL.AY
- htm.txt - HTML_PHEL.AX
- z12.chm - CHM_CODEBASE.AE
- x.chm - CHM_CODEBASE.AA(含むTROJ_APHER.AJ) )
- x12.php - JS_MHTREDIR.AP