[木馬]收到朋友寄來的附加檔案含有木馬

網路真是厲害! 朋友寄來的信件附加檔案含有木馬程式! 其實不論是哪種附加檔案,還是建議各位大大養成下載檔案之後,並給立即掃毒... 平日也要勤快的更新病毒碼喔!!!
 由於小弟知道這個有問題! 哪會有文章會以執行檔(還是以com副檔名)的方式給予附加。 所以小弟先關閉卡車司機五分鐘! 並且分析該檔案到底內藏些什麼!
 
 

喔?! 鼎鼎有名的 奇摩亞虎的免費信箱! 小弟用之有年,並且現在還內建賽門鐵克公司所出的諾頓2006掃毒軟體! 點選的結果是"沒有發現病毒" 不知道免費的病毒碼比較老舊;還是諾頓2006太肉腳了! 竟然沒有掃瞄到這的檔案的所包含的木馬程式!
 
大都一般人的習慣都會按下"執行",不過由於這次為玩票性的測試,於是就點選"儲存"摟!
 

那就存放在桌面好了!
 

嗯嗯! 確認是副檔名為 com 的執行檔! 在此千千萬萬不要點選給予執行!
 

來更改副檔名看看! 改成RAR好了! 來看看這裡面有什麼料可以看!
 

來解壓縮到目錄當中吧!
 

解壓縮該目錄後,給予進入該目錄! 
  

發現裡面有兩個檔案! 一個是掛羊頭賣狗肉的文件檔;另外一個則是執行檔,且該執行檔的圖示呈現可解壓縮的RAR自動執行檔!
 

來看看騙人的手段文件檔! 可以用notepad觀看喔!
  

至於執行檔方面!!! 那也是利用WINRAR解壓縮到一個目錄當中!
 

來看看身為EXE副檔名壓縮檔裡面到底賣什麼藥嗎?!
 

哇! 呼叫 1.EXE 哩! 還有呼叫該文件檔! 看來直接執行還是會中獎的啦!
 

點選進去看看該解壓縮的目錄中吧!
 

果然是有"1.EXE" 這應該是 木馬程式 的 Client 端吧!
 

沒想到五分鐘到了! 卡車司機自動啟動! 馬上就發現這個 木馬程式 了!
 

2006-10-30 0:22 #1
若掃毒程式沒有及時發現並阻擋該木馬程式的執行,而使用者自行執行會發生以下的狀況:
 
以此木馬程式的發生狀況!
1、執行1.com會自動解壓縮含有木馬到 C:\Program Files\Windows Media Player 目錄當中 的並執行含有木馬的svchost.exe 到記憶體當中
 
2、解壓縮含有木馬的動態連結庫 PDLL.dll 到 C:\WINDOWS\system32 目錄當中
 
3、增加登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe
 
 
 
*** 解毒方法(經過自己親身實驗發現出來的):
1、開啟工作管理員,並停用svchost.exe ! 可是這麼多個 svchost 檔案,不知道要停用哪一個哩! 這很簡單,由於中毒的時候是用該使用者的帳號(大都為Administrator) 只要觀看使用者不是為 SYSTEM 、 LOCAL SERVICE 與 NETWORK SERVICE 這三種使用者名稱的話,就可以得知該啟動常駐的啟動帳號! 就可以"結束停止工作程序"!
 
2、刪除 C:\WINDOWS\system32\PDLL.dll 與 C:\Program Files\Windows Media Player\svchost.exe
 
3、刪除登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe ! 切記! 是刪除裡面的值,而不是整個刪除! 要留下 C:\windows\System32\userinit.exe 這個值即可!
 
4、更新病毒碼! 執行全面系統掃毒! 建議:最好到安全模式執行掃毒! 還有XP系統請關閉"系統還原"的功能! 以免病毒還會留著!
這個病毒屬於:

PSW Trojans
This family of Trojans steals passwords, normally system passwords from victim machines. They search for system files which contain confidential information such as passwords and Internet access telephone numbers and then send this information to an email address coded into the body of the Trojan. It will then be retrieved by the 'master' or user of the illegal program.

Some PSW Trojans steal other types of information such as:

System details (memory, disk space, operating system details)
Local email client
IP-address
Registration details
Passwords for on-line games
Trojan-AOL are PSW Trojans that steal passwords for aol (American Online) They are contained in a sub-groups because they are so numerous.
 
**********以上來源均引用卡巴斯基之原廠網站*********

阿胖技研,專研資訊相關技術!
呵呵!這隻一模一樣的馬~上星期的時候,也有人寄給我。打開附加檔案,也是直覺有問題,不過想了一下,自己的防護工作應該還算完善,該不會是學生故意寄來測試我的吧!最後還是手賤,去執行了他。果然盡責的司機先生馬上告訴我~「有壞人!!!!」。

不知道您是不是寄件者為「豬頭文」寄來的。而且小弟的不只「1.com」,還有多了一隻「2.com」呢!查了一下smtp原來是從Yahoo的server端發出來的,便寄了封信給yahoo請他們加強server端的檢測。

無聊之餘,順便追了一下信件的路由....哇,從台灣追到日本→美國LA→中國北京→最後落腳在福建省龍巖市電信的IP,看來這隻木馬主要目的應該是用來盜用遊戲帳號為主。所以請大家注意囉!
前幾天收到一位朋友的email,也是夾雜上述的病毒附件,我的直覺就是病毒,可是直接用卡巴斯基5.0.391並沒有掃到耶??所以,我也沒有勇氣去分析和執行它,就將它刪除了,

結果沒幾天,我朋友就說他的郵件帳號被盜了,並竊喜那個人並沒有把她的郵件帳號密碼給更改,我現在想想,其實那個人很聰明,根本就不是要動郵件帳號的主意....嗯...以後就算來路清楚的信件也要仔細判斷了
非常感激這位大大分享這帖

小弟日前也有發現這封信件(應該說 非常多封類似信件 附件 xxx.com) 不過都直接刪除了 並沒有點選開啟或者儲存

不過....奇怪的是 今天凌晨 突然中標 0.0
卡巴掃到就是 svchost 中了木馬 砍不掉...

在網路上搜尋了一堆相關文章 進出安全模式數十次 也找不到真正刪除的方法 (也許是我搜尋關鍵字太廣泛)

最後 抱著試試看的心情在01搜尋 終於讓我看到這篇方法 也成功的刪除掉那討人厭的木馬

等級太低 無法用加分來表達感激 只好用這短短的說明來感謝大大
謝謝樓主的分析報告~可惜的是─相見恨晚!
之前也是收到熟人寄來的類似信件(文字檔內容也是讓人笑不出來的阿兵哥),用奇摩掃毒沒掃到,再用自己安裝的防毒軟體也是沒掃到,雖然心想.exe可能有地雷,但手癢難耐還是將它開啟,接下來的事就甭說了...
受害前刪除可疑信件的判斷依據:寄件者、掃毒軟體
受害後刪除可疑信件的判斷依據:只要讓我列為嫌疑犯,一律刪無赦,管它寄件者是何人、掃毒軟體是否偵測到病毒,對可疑的信件/程式仁慈,便是對自己殘忍!
行路難,難重陳。行路難,難於山,險於水。行路難,不在水,不在山,只在人情反覆間。
下午我也有收到,是同學名字寄出,奇摩也沒查到
好冷的笑話
下載com後
賽門鐵克沒反應
昨天裝的 AVG Anti-Spyware馬上有反應,做隔離
點了執行沒看到東西
還好有裝防木馬
Attitude is everything. : p
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結