Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

プチ検出テスト

(受動的攻撃)てんこもりサイトを教えて頂きました。ちょうどキングソフトについても試してみたかったのでOnline malware scanVirusTotal で確認してみました。

あっさり風味です。。あんまり参考にはならないです。

実施日は9/20です。

ファイル名:adv730.php

ちょっとよくわかりませんけど、MS02-015なんでしょうか、あるいは MS05-020あたり?ウイルス情報とか見てるとMS05-020とMS05-026(累積パッチですが)が結構あるみたいです。

AntiVir  Found Trojan/Dldr.JS.Inor.a.1
Kaspersky Anti-Virus  Found Trojan-Downloader.JS.Inor.a
Norman Virus Control  Found JS/Exploit_based.D
VBA32  Found TrojanDownloader.JS.Psyme.o
Avira	6.32.0.3	09.19.2005	TR/Dldr.JS.Inor.a.1
McAfee	4584	09.19.2005	JS/Wonka
Norman	5.70.10	09.19.2005	JS/Exploit_based.D
VBA32	3.10.4	09.19.2005	TrojanDownloader.JS.Psyme.o

ファイル名:x12.php

おなじみMS04-013です。(もしかしたらMS05-026のうちのどれかなのかも?)

BitDefender  Found Exploit.Html.MhtRedir.Gen
ClamAV  Found Exploit.HTML.MHTRedir.2n
Kaspersky Anti-Virus  Found Exploit.HTML.Mht (probable variant)
Norman Virus Control  Found HTML/Exploit_based
eTrust-Vet 11.9.1.0 09.19.2005 JS.MHTMLRedir!exploit
McAfee 4585 09.19.2005 Exploit-MhtRedir.gen

ファイル名:z12.chm
BitDefender  Found Exploit.Html.Codebase.Exec.Gen, Trojan.Small.ALX
NOD32  Found a variant of Win32/TrojanDownloader.Small.AWA
VBA32  Found Trojan.Downloader.Small.1 (probable variant)
CAT-QuickHeal	8.00	09.19.2005	(Suspicious) - DNAScan
Sophos	3.97.0	09.19.2005	Troj/CodeBa-Fam

ファイル名:cursor.anr

MS05-002ですね。Windows 98/ME な方でKB891711.exeのスタートアップを外してたりしないかなと、ちょっと心配。

AntiVir  Found Exploit/MS05-002.Ani.A  
BitDefender  Found Exploit.Win32.MS05-002.Gen
ClamAV  Found Exploit.W32.MS05-002
Dr.Web  Found Exploit.ANIFile
Kaspersky Anti-Virus  Found Trojan-Downloader.Win32.Ani.c
NOD32  Found Win32/TrojanDownloader.Ani.gen
eTrust-Iris	7.1.194.0	09.18.2005	Win32/MS05-002!exploit!Trojan
eTrust-Vet	11.9.1.0	09.19.2005	Win32.MS05-002!exploit
McAfee	4585	09.19.2005	Exploit-ANIfile
Panda	8.02.00	09.19.2005	Exploit/LoadImage
Symantec	8.0	09.18.2005	Downloader.Trojan
TheHacker	5.8.2.109	09.19.2005	Exploit/ANIfile

ファイル名:x.chm

う〜んと。何だろう(汗)。ActixeX関連ですよね(クルシイカナ)。

ArcaVir  Found Trojan.Exploit.Html.Objdata
BitDefender  Found Exploit.Html.Codebase.Exec.Gen, BehavesLike:Trojan.Downloader (probable variant)
ClamAV  Found Exploit.HTML.Codebase.Exec.gen-2
Dr.Web  Found Trojan.DownLoader.4286
Kaspersky Anti-Virus  Found Trojan-Downloader.Win32.Apher.gen, Exploit.HTML.ObjData
NOD32  Found probably unknown NewHeur_PE (probable variant)
VBA32  Found Win32.Trojan.Downloader (openpass.exe) (probable variant)
CAT-QuickHeal	8.00	09.19.2005	(Suspicious) - DNAScan
Sophos	3.97.0	09.19.2005	Troj/Codebase-C

ファイル名:indexcmd.html

MS05-001ですね。

ArcaVir  Found Trojan.Downloader.Vbs.Phel.E
Avast  Found VBS:Malware
BitDefender  Found Exploit.Phel.Gen
ClamAV  Found Exploit.MS05-001.gen
F-Prot Antivirus  Found nothing
Kaspersky Anti-Virus  Found Exploit.VBS.Phel.a
eTrust-Vet 11.9.1.0 09.19.2005 HTML.HelpControl!exploit
McAfee 4585 09.19.2005 JS/Exploit-HelpXSite

ファイル名:htm.txt
ArcaVir  Found Trojan.Exploit.Vbs.Phel.H
Avast  Found VBS:Malware
ClamAV  Found VBS.Phel.D
Fortinet  Found VBS/Psyme.D-tr
Kaspersky Anti-Virus  Found Exploit.VBS.Phel.a
VBA32  Found Exploit.VBS.Phel.a
Avast	4.6.695.0	09.19.2005	VBS:Malware
ClamAV	devel-20050917	09.19.2005	VBS.Phel.D
eTrust-Vet	11.9.1.0	09.19.2005	HTML.HelpControl!exploit
Fortinet	2.41.0.0	09.07.2005	VBS/Psyme.D-tr
Kaspersky	4.0.2.24	09.19.2005	Exploit.VBS.Phel.a
McAfee	4585	09.19.2005	JS/Exploit-HelpXSite
VBA32	3.10.4	09.19.2005	Exploit.VBS.Phel.a

ファイル名:bags.htm

MS05-026だと思うんですけど・・・

AntiVir  Found HTML/Exploit.OBJ-Mht  
BitDefender  Found Exploit.Html.MhtRedir.Gen
ClamAV  Found Trojan.Downloader.Psyme-3
Fortinet  Found HTML/MHTRedir.A
Kaspersky Anti-Virus  Found Exploit.HTML.Mht (probable variant)
Avira 6.32.0.3 09.19.2005 HTML/Exploit.OBJ-Mht
eTrust-Vet 11.9.1.0 09.19.2005 VBS.Petch
ウイルス情報:Win32.Petch
McAfee 4585 09.19.2005 Exploit-MhtRedir.gen 
Panda 8.02.00 09.19.2005 Exploit/MIE.CHM
Symantec 8.0 09.18.2005 Downloader.Psyme
TheHacker 5.8.2.109 09.19.2005 VBS/Psyme

ファイル名:openpass.exe

ダウンローダー本体ですね。

AntiVir  Found Trojan/Dldr.Small.bnh
ArcaVir  Found Trojan.Downloader.Small.Bnh
Dr.Web  Found Trojan.DownLoader.4287
F-Prot Antivirus  Found unknown virus (probable variant)
Fortinet  Found Dloader.G-tr
Kaspersky Anti-Virus  Found Trojan-Downloader.Win32.Small.bnh
NOD32  Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control  Found W32/DLoader.JAC
VBA32  Found Trojan-Downloader.Win32.Small.bnh
Avira	6.32.0.3	09.19.2005	TR/Dldr.Small.bnh
CAT-QuickHeal	8.00	09.19.2005	TrojanDownloader.Small.bnh
McAfee	4585	09.19.2005	Generic Downloader.g
Norman	5.70.10	09.19.2005	W32/DLoader.JAC

ファイル名:12.exe

これが本命っぽいバックドアでしょうか。

AntiVir  Found Trojan/Dldr.Small.agq.4
BitDefender  Found Trojan.Small.ALX
Fortinet  Found BDoor.AZV-bdr
NOD32  Found a variant of Win32/TrojanDownloader.Small.AWA
VBA32  Found Trojan.Downloader.Small.1 (probable variant)
Avira	6.32.0.3	09.19.2005	TR/Dldr.Small.agq.4
CAT-QuickHeal	8.00	09.19.2005	(Suspicious) - DNAScan
McAfee	4584	09.19.2005	BackDoor-AZV
BackDoor-AZV
Panda	8.02.00	09.19.2005	Bck/Agent.ALX
TheHacker	5.8.2.109	09.19.2005	W32/SdBot(2).worm.gen

見ての通りなのですがどれが一番か決められませんね。上記8つは受動的攻撃(つまり不正実行の仕掛け)なので、修正済みのものなら実行されませんね。でも、両方対応してる方が安心かなと思います。

私見ですけど、対応数はダントツだと思われるKaspersky狙いのマルウェアが増えてるように思います。まぁそれでもすぐに対応する場合が殆どみたいですけど。

eTrust について、意外ですが受動的攻撃については「Vet」エンジンの方が対応数が多いのかも。

あくまで、「プチ」テストですけどね。。

あぁ、キングソフトですよね。
検出ゼロでした。
はい。

【追記】ウイルスバスター2005も現在(9/23)のところ、すべて未対応です。