wst2080

364分

樓主

wst2080

個人積分：364分

文章編號：1837896

訊息

[木馬]收到朋友寄來的附加檔案含有木馬

網路真是厲害! 朋友寄來的信件附加檔案含有木馬程式! 其實不論是哪種附加檔案,還是建議各位大大養成下載檔案之後,並給立即掃毒... 平日也要勤快的更新病毒碼喔!!!
　由於小弟知道這個有問題！　哪會有文章會以執行檔（還是以ｃｏｍ副檔名）的方式給予附加。　所以小弟先關閉卡車司機五分鐘！　並且分析該檔案到底內藏些什麼！
　
　

喔？！　鼎鼎有名的　奇摩亞虎的免費信箱！　小弟用之有年，並且現在還內建賽門鐵克公司所出的諾頓２００６掃毒軟體！　點選的結果是＂沒有發現病毒＂　不知道免費的病毒碼比較老舊；還是諾頓２００６太肉腳了！　竟然沒有掃瞄到這的檔案的所包含的木馬程式！
　

大都一般人的習慣都會按下＂執行＂，不過由於這次為玩票性的測試，於是就點選＂儲存＂摟！
　

那就存放在桌面好了！
　

嗯嗯！　確認是副檔名為　ｃｏｍ　的執行檔！　在此千千萬萬不要點選給予執行！
　

來更改副檔名看看！　改成ＲＡＲ好了！　來看看這裡面有什麼料可以看！
　

來解壓縮到目錄當中吧！
　

發現裡面有兩個檔案！　一個是掛羊頭賣狗肉的文件檔；另外一個則是執行檔，且該執行檔的圖示呈現可解壓縮的ＲＡＲ自動執行檔！
　

來看看騙人的手段文件檔！　可以用ｎｏｔｅｐａｄ觀看喔！
　　

至於執行檔方面！！！　那也是利用ＷＩＮＲＡＲ解壓縮到一個目錄當中！
　

來看看身為ＥＸＥ副檔名壓縮檔裡面到底賣什麼藥嗎？！
　

哇！　呼叫　１.ＥＸＥ　哩！　還有呼叫該文件檔！　看來直接執行還是會中獎的啦！
　

點選進去看看該解壓縮的目錄中吧！
　

果然是有＂１.ＥＸＥ＂　這應該是　木馬程式　的　Ｃｌｉｅｎｔ　端吧！
　

沒想到五分鐘到了！　卡車司機自動啟動！　馬上就發現這個　木馬程式　了！
　

2006-10-30 0:22 #1

wst2080

364分

樓主

wst2080

個人積分：364分

文章編號：1838004

訊息

若掃毒程式沒有及時發現並阻擋該木馬程式的執行，而使用者自行執行會發生以下的狀況：
　
以此木馬程式的發生狀況！
１、執行1.com會自動解壓縮含有木馬到 C:\Program Files\Windows Media Player 目錄當中的並執行含有木馬的svchost.exe　到記憶體當中
　
２、解壓縮含有木馬的動態連結庫　PDLL.dll　到　C:\WINDOWS\system32　目錄當中
　
３、增加登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe
　
　
　
＊＊＊　解毒方法(經過自己親身實驗發現出來的)：
１、開啟工作管理員，並停用svchost.exe ! 可是這麼多個 svchost 檔案，不知道要停用哪一個哩！　這很簡單，由於中毒的時候是用該使用者的帳號（大都為Administrator）只要觀看使用者不是為 SYSTEM 、 LOCAL SERVICE 與 NETWORK SERVICE 這三種使用者名稱的話，就可以得知該啟動常駐的啟動帳號！　就可以＂結束停止工作程序＂！
　
２、刪除　C:\WINDOWS\system32\PDLL.dll 與 C:\Program Files\Windows Media Player\svchost.exe
　
３、刪除登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe ！　切記！　是刪除裡面的值，而不是整個刪除！　要留下　C:\windows\System32\userinit.exe　這個值即可！
　
４、更新病毒碼！　執行全面系統掃毒！　建議：最好到安全模式執行掃毒！　還有ＸＰ系統請關閉＂系統還原＂的功能！　以免病毒還會留著！

wst2080

364分

樓主

wst2080

個人積分：364分

文章編號：1838073

訊息

這個病毒屬於：

PSW Trojans
This family of Trojans steals passwords, normally system passwords from victim machines. They search for system files which contain confidential information such as passwords and Internet access telephone numbers and then send this information to an email address coded into the body of the Trojan. It will then be retrieved by the 'master' or user of the illegal program.

Some PSW Trojans steal other types of information such as:

System details (memory, disk space, operating system details)
Local email client
IP-address
Registration details
Passwords for on-line games
Trojan-AOL are PSW Trojans that steal passwords for aol (American Online) They are contained in a sub-groups because they are so numerous.
　
＊＊＊＊＊＊＊＊＊＊以上來源均引用卡巴斯基之原廠網站＊＊＊＊＊＊＊＊＊

阿胖技研,專研資訊相關技術!

husin

0分

4樓

husin

個人積分：0分

文章編號：1838183

訊息

呵呵！這隻一模一樣的馬～上星期的時候，也有人寄給我。打開附加檔案，也是直覺有問題，不過想了一下，自己的防護工作應該還算完善，該不會是學生故意寄來測試我的吧！最後還是手賤，去執行了他。果然盡責的司機先生馬上告訴我～「有壞人！！！！」。

不知道您是不是寄件者為「豬頭文」寄來的。而且小弟的不只「1.com」，還有多了一隻「2.com」呢！查了一下smtp原來是從Yahoo的server端發出來的，便寄了封信給yahoo請他們加強server端的檢測。

無聊之餘，順便追了一下信件的路由....哇，從台灣追到日本→美國LA→中國北京→最後落腳在福建省龍巖市電信的IP，看來這隻木馬主要目的應該是用來盜用遊戲帳號為主。所以請大家注意囉！

realmax

7分

5樓

realmax

個人積分：7分

文章編號：1838789

訊息

前幾天收到一位朋友的email，也是夾雜上述的病毒附件，我的直覺就是病毒，可是直接用卡巴斯基5.0.391並沒有掃到耶??所以，我也沒有勇氣去分析和執行它，就將它刪除了，

結果沒幾天，我朋友就說他的郵件帳號被盜了，並竊喜那個人並沒有把她的郵件帳號密碼給更改，我現在想想，其實那個人很聰明，根本就不是要動郵件帳號的主意....嗯...以後就算來路清楚的信件也要仔細判斷了