【病毒】從 Y 信箱收到的『一定要注意喔』的病毒

自從換成 Trend 的合作後，第一次收到的病毒信就…

信件來源是不認識的人，但是有經過 Y 的認證吧
"此寄件人已經過 Domainkeys 核查"

[quote]並未偵測到病毒或受感染。 .exe, .com, .bat, .scr, .pif, .msi 檔案建議不要下載，請先確認檔案來源安全性。（網路安全說明）
檔案: 一定要注意喔.zip 下載夾帶檔案 [/quote]

說明一下附件的結構
※一定要注意喔 zip 包含一個 cmd
※一定要注意喔 cmd 其實是自解檔，包含 1.txt 21.sfx.exe（請小心，[color=red]不要直接開啟[/color]
[quote]Setup=21.sfx.exe
Presetup=1.txt
TempMode
Silent=1
Overwrite=1[/quote]
※1.txt 的內容就是說不要喝在車裡的礦泉水，會致癌
※21.sfx.exe 這裡面只有一個 21.exe ← 病毒本體…吧（在解這個檔的時候小雨傘一直叫，我放棄了

結論
偵測到的名稱 TR/Dropper.Gen [trojan]
手動用小雨傘掃毒的結果，如果不解壓縮，整包掃描，小雨傘可以偵測到
解壓縮到 21.sfx.exe 時就解不開了，個人猜測 21.exe 就是病毒本體了吧

以上！真的要注意喔~ 提醒您這封信箱面有病毒

下次可以用這個網站來分析看看行為
[url]http://www.threatexpert.com/[/url]

上傳
[url]http://www.threatexpert.com/submit.aspx[/url]
幾分鐘就會回信
不過有些格式不支援就是了

Yahoo病毒信難擋的原因之一是
那些都是大陸仔盜用台灣人帳號,透過線上Yahoo mail寄出
有看那些Mail header就知道..目前手頭上約140隻Yahoo木馬樣本,全部都從福建寄出.

[url]http://www.virustotal.com/zh-tw/analisis/e26207893c6105ea4093b55173ac4c03[/url]

Virustotal的分析報告.

[QUOTE=ellery;1031155][url]http://www.virustotal.com/zh-tw/analisis/e26207893c6105ea4093b55173ac4c03[/url]

Virustotal的分析報告.[/QUOTE]

台灣三大廠全被免殺
抓到的也只有報啟發

to 天氣預報
>分析看看行為
這個網站並不是很懂的怎麼操作，
>台灣三大廠全被免殺
說真的這句我看不懂 ...srO

to ellery
嗯…我也有上傳去看分析報告，下次會記得附上結果連結的
不過…大半都是看不懂，只知道有幾個紅字這樣

>tvirus
Y 信箱有提供看完整標頭的功能，不過…看不出端倪

[url]http://www.threatexpert.com/files/21.sfx.exe.html[/url]

F-Secure found Trojan-GameThief.Win32.Magania.adxw

[QUOTE=windata;1031185]to 天氣預報
>tvirus
Y 信箱有提供看完整標頭的功能，不過…看不出端倪[/QUOTE]
今天剛收到的,信件標題:你朋友買到東西!(已經透過POP3收下來,所以我列出的是從收信軟體看的標頭)
X-Apparently-To: [email][email protected][/email] via 203.188.201.6; Thu, 25 Sep 2008 02:07:03 +0800
X-YahooFilteredBulk: 203.188.201.81
X-Originating-IP: [203.188.201.81]
Authentication-Results: mta175.mail.tp2.yahoo.com from=yahoo.com.tw; domainkeys=pass (ok)
[COLOR="Blue"]Received: from 203.188.201.81 (HELO web73501.mail.tp2.yahoo.com) (203.188.201.81)[/COLOR]
by mta175.mail.tp2.yahoo.com with SMTP; Thu, 25 Sep 2008 02:07:03 +0800
Received: (qmail 17347 invoked by uid 60001); 24 Sep 2008 18:07:03 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com.tw;
h=X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type:Message-ID;
b=HY5oBUHCY8b97R148wcm4V5RfXx7eNxVPP5fU6LrqhQKunEh3C0PK66KLoFDQa4G1fIMspS0lFs3HsNyqtpkgici5A2jW79mKkZGb62bWvm13nxp2jxPlDXI4oc4YJh2oDlM3XfHyiOwybCcgbXWpnAC35IXSMPddF2rGyd7VKU=;
X-YMail-OSG: Cg4yaJkVM1kLCoN6SttodpkVyN7cgsEvAtKBgTyDLrWLgw8ueRQxO7TWBreen_KmUjRW5UPv6Qeu3EHfUKTzhgM7iernp9A8iyNP2IPTjXe3ikRQETEXv0J9zc51idEWXyaPdVs17tgZpZawP3S5NL35XIHGCLgpMhRpw8lQoaGGu3Usc7jQBkN1ba2C.g35GMsfGjisz2I8kGGFCMDPniFv.ej9Z_XoJr3pyEaVur1S6YLXVqBfZ7NH0YcKIr3HFbFVhIIcSUbvYg055kQvyUZr8aqahNQy0zZ.iLumITfzH4moyJmPVvLuLeoKTlHC
Received: from [[COLOR="Red"]59.58.233.74[/COLOR]] by web73501.mail.tp2.yahoo.com [COLOR="Red"]via HTTP[/COLOR]; Thu, 25 Sep 2008 02:07:02 CST
X-Mailer: YahooMailWebService/0.7.218.2
Date: Thu, 25 Sep 2008 02:07:02 +0800 (CST)
From: =?big5?B?xHiyebPT?= <[email protected]>
Subject: =?big5?B?p0GqQqTNtlKo7KpGpugh?=
To: [email][email protected][/email]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-1523946902-1222279622=:16938"
Message-ID: <[email protected]>


59.58.233.74 [URL="http://www.db.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=59.58.233.74&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=ALL&object_type=All"]這IP的資料[/URL]

通常都是看最後顯示的IP或非Yahoo網域的第一個
至於這發信Email是誰?不認識 :|||:

我是已經看到這類信件看到麻木了
送來只有幾個字的,又是夾檔案要我開的,99%是木馬(對我而言)

怎麼辦？我已經開啟類似的檔案
因為是熟人寄的，所以沒有警覺.....
KIS8沒反應，又剛好我更新版本後
就不能更新了，會跑出該記憶體能read
而且我現在打字會變慢，用的是自然8
但是用新注音就正常，連英打都會變鈍
我該怎麼辦= =，重灌KIS8嗎?
KIS現在抓得到嗎?