今天收到一封104寄來的信,mail address是[email protected]
文章標題是Re: Wicked screensaver,看到標題是螢幕保護程式有點疑問??
我又沒有申請或是下載這個,我還上網查是不是有利用104寄送病毒的案例,可是沒有找到
而且我又因為失業中最近都有在上104網站,就下載來看看
開啟信件後,內容如下
ee the attached file for details
附件: your_document.pif (application/octet-stream, 72.571 K bytes)
下載之後居然是ms-dos類型檔案,好奇心就點了2下,剛開始好像沒反應,過了一會螢幕就
開始閃動了(有時會變色),我嚇死了,趕快把檔案殺掉並重開機,結果重開機之後硬碟燈一直閃,
我並未安裝任何常駐程式(包含防毒軟體),我就查看工作管理員,也許檔案是dos model
所以看不出有什麼程式在暗中運作,但是沒有執行任何程式cpu使用率確在25%~38%之間跳動
(正常時沒執行程式差不多都是1%),而且螢幕也還會閃,我就把電腦做系統還原,把日期還原到昨天
,就一切正常了(電腦跑了3小時沒在閃過),因為還沒聽說這是一個確定的病毒,所以也只
能請大家也注意一下了
ps:看!!失業就很不爽了還中104的病毒
另外~mail還未殺有想要幫忙分析研究是不是病毒的,我可以轉寄給你

贊助商連結

XD現在這個時代....沒裝防毒算你有勇氣...之前才幾個小時沒裝.就重了＝.＝

最初由 cwl5858 發表
XD現在這個時代....沒裝防毒算你有勇氣...之前才幾個小時沒裝.就重了＝.＝
都是中後門偵測程式用ad-award就搞定了,這一次之前中過疾風其它就沒中過了

基本上看到信件主旨是英文，還有附加檔案，我是一律不開啟，直接刪除。
因為我確定很少在英文網站上留過我的依媚兒，有的話也是一些大廠。

好奇心殺死貓...

看檔名應該是sobig變種
裝個NAV 2004吧

疾風駭蟲 Msblast_Worm 的威脅還沒過，Sobig_Worm 老大第六代
E-mail 駭蟲又在網路上散播


此隻駭蟲具有自我更新的功能，能利用自己的 SMTP 大量偷發駭蟲信件，干擾網際網路與區域網路的頻寬。小心 [email protected] 寄來的信件，附帶檔為 your_document.pif、document_all.pif、thank_you.pif、 your_details.pif、details.pif、document_9446.pif、application.pif、wicked_scr.scr、movie0045.pif 的檔案。

駭蟲信件內容：
寄件者：[email protected] 或假借別人的帳號
主旨：(以下的其中一個)
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
內容：(以下的其中一個)
See the attached file for details
Please see the attached file for details.
附帶檔：(以下的其中一個)
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

駭蟲行為：
1.複製自己到 Windows 根目錄下為 Winppr32.exe。
2.修改 Registry 的啟動區，可以讓駭蟲開機時即啟動。
3.利用自己的 SMTP 大量偷發 E-mail 信件。
4.干擾網際網路與區域網路的頻寬。
5.具有自我更新的功能。
6.2003年9月10日以後停止散播。
7.具有自我更新的功能，會在2003年9月10日前的格林威治(GMT)時間每【星期五、星期天】晚上 7:00 - 10:00 想變臉，而台灣時間即每【星期六、星期一】凌晨 03:00 - 06:00 變臉。
據金帥工程部測試，此隻駭蟲想要連結更新的網址均已關閉，所以變臉的功能將會失效。

http://www.y2000.com.tw/hot/Sobig-f.htm

幫信箱的主人說個話，其實不一定是他寄的，現在很多病毒(和廣告信)都會假裝別人的地址寄，這個已經是不是技術的技術了