寫病毒的都有在看,你呢?
你認為那些寫病毒程式的人現在還是放毒純自High?還是用散播病毒來賺錢?答案當然是後者。也就因為有利可圖,那些人可是用盡各種辦法要把電腦病毒送給你!
而很明顯的那些人還會參考網路上教大家如何判斷是不是病毒信的文章,針對這些文章中所說的作法一一破解,讓你一不小心就會中招。而今天高登要跟大家分享的就是一個抓毒的過程,或許大部份的人看到「疑似」有毒的信件二話不說就砍了,但是在好奇心的驅使之下,高登就有了這一趟「病毒之旅」。
好朋友就是要毒你!
首先是前天收到友人寄來的信件,裡面只有簡短的一句話加上一個「情色喜劇之我愛友家.zip」附檔,當然標題要寫得很慫動為的就是激起你的好奇心!(不是一定就是這個標題,但是一定是類似這樣的寫法)
而一樣依照慣例,免費信箱所用的防毒程式告訴你「沒有偵測到病毒」,你可以放心下載(死的比較快)!
這個壓縮檔下載甚至打開都還不會中毒,裡面是一個「情色喜劇之我愛友家.lnk」的連結檔,你千萬不要直接點這個連結檔,因為會上網然後你就中毒了!
我先把這個連結檔用WinRAR內建的檢視器開啟,結果看到裡面一大堆可疑的指令:
讓我來猜一下:這個連結檔應該會叫用「cmd.exe」命令提示字元來下載一些檔案,而且連結檔指定是用「IEXPLORER.EXE」來開啟,所以就算你的預設瀏覽器不是IE一樣會中招!
Virustotal也沒用了
最恐怖的是:我們一直教大家有問題的檔案就上傳到www.virustotal.com這一招已經沒用了,因為你要上傳這個「情色喜劇之我愛友家.lnk」時,會變成你要上傳「cmd.exe」!
所以你不小心看會以為這個檔案無毒(你的cmd.exe有毒那才慘咧)!
但是正確的報告應該是這樣:目前只有8隻防毒有抓到,大家比較熟知的只有avast!抓到是「Win32:Lnkget」跟卡巴斯基能抓到「Trojan-Downloader.Win32.Pif.vk」,其他的再過幾天應該就會抓到了,但是現在病毒就是利用「這幾天」的空窗期來散播的!
或許有人會好奇:你是如何上傳的?答案就是「Ubuntu」,事實上所有的非Windows的作業系統應該都可以!
雲端防毒一樣沒轍
而現在有幾家標榜能更快抓到病毒的「雲端防毒」在這一次的測試中「熊貓Panda」因為裝完了還要填Email才能啟用,我看了很不爽就沒試了(真的很沒誠意,又是另一個釣魚?),另外兩個「趨勢WTP addon」跟「Immunet」兩個都抓不到,不過Immunet我有設成監控安裝程式,所以記錄到了一些可疑的活動,這也證明了前面的猜測無誤!
首先點擊這個連結檔你會看到DOS視窗閃一下又不見了,它是叫用了tftp.exe或是ftp.exe去網路上下載病毒檔回來:
下載回來的檔案是「d.exe」放在Windows目錄之下(不一定是這個檔名,應該很快又會有升級版出來)。
而這個「d.exe」就真的有毒了,但是這也只是過渡的程式,它再用這個「d.exe」生成另一個「gfhnn.exe」放在C:\Windows\system32系統目錄裡面:(以後還會有其他名稱的檔案出現)
用DOS視窗看了一下果然有這個檔案,但是麻煩的是:這個檔案的日期是2000年的,像我一般會找最近日期的檔案這一招又不靈了!
用「gfhnn.exe」的名稱在登錄裡面搜尋了一下,果然放在一開機就執行的「HKLM/SOFTWARE/Microsoft/WindowNT/CurrentVersion/Winlogon」裡面,在電腦一開機時就載入病毒程式。
如果你在中毒的電腦要上傳這個「gfhnn.exe」的話,你是無法上傳的!
avast!又回來了
或許這只是個案,但是被我遺棄好久的avast!防毒這一次的表現令人刮目相看,我試了一下真的在開機掃瞄就抓到了這隻毒:
就算是執行那個有毒的連結檔,也是可以擋下有毒的「d.exe」:
以上的報告不知道大家看了之後有什麼感想?真的是遊戲規則一直在變,大家要小心囉!
原來*.lnk是這樣玩的阿,我還一直很納悶一個連結怎麼讓你中毒勒~
只是當成一個shell script在用,最後IE開出來到奇摩購物的網頁,不知道是有什麼用意?
碳碳認為...很聳動的信件名稱和附加檔案趨近於百分之百是病毒,
不知道怎麼搞的,碳碳就覺得只要是很「官方」的口語就感覺是假的
比如說:
你想要求職嗎?在這裡通通幫你分類好的工作...等等的(這段是碳碳掰的)
微軟作孽系統(別懷疑,是作孽系統)有還原程式來測試xD
一般人會太相信防毒程式,以為裝了防毒就會擋下來,這才是最大的問題
我都不相信防毒軟體, 所以, 都沒裝 😛
因為空窗期總是會有的!!
像這類的附件, 我都是連信直接刪除,
如果有空, 我會再發 MSN 或 Mail 告訴對方,
你的 eMail 資料被盜用了...
很多時候, 我沒把怎麼找毒的方法寫出來,
就是在想, 如果寫毒的人, 多多參考像您公開出來的撇步
去防止簡單快速找毒法, 那毒就愈來愈難找 XD
也沒那麼嚴重,只要大家的觀念對就不容易中招
現在網路上一堆短網址傳來傳去,在我認為比這個還嚴重
我現在 還再用 AVG耶...
難不能又要 換成 avast @ˇ@!
我偶而 會下載 最新版的 DR web(大蜘蛛)來掃毒一下
聽說這個 抓毒能力滿強的.
DR web 假如有出防毒軟體 應該會滿多人用的吧!
要不要換再觀察看看吧!
你說的是Dr Web CureIt,這個沒有即時防護的功能,他們家也有完整即時防毒的版本哦
太多小短片傳來傳去
導致病毒有機可趁
完全靠防毒軟體的心態還是要改一改
再強捕手還是會有漏接的時候
這樣說也是可以
這種東西嚴格來說不算是病毒,只是一個捷徑而已
重點在於防毒軟體對執行後下載的病毒與行為有沒反應
這是現在病毒傳播的主要方式之一,而且已經好久了
Kavo系列從一開始就是用這種模式在運作,所以防毒軟體才會來不及反應
這hotmail信件附帶的病毒檔流傳好久了...我2009/10月就碰到一、兩封,沒想到現在防毒軟體,居然還有能不都判讀到(@-@),真是讓人擔憂啊,我當時是用comodo防火牆+防毒,也沒擋下...不過卻跳出程式執行錯誤,可能那時病毒沒寫好吧(笑)。
因為現在病毒的更新速度比防毒軟體還快(苦笑)!!
拜讀之後記得自己有收到過...
不過,個人的觀念就像是樓上一些朋友一樣
雖然沒做到連裝都不裝那麼[豁達]XD
不過幾乎是聳動的標題(大多都是情色)+怪異的連結
不管是不是朋友都會直接刪除
同時寄件人的名稱如果很詭異的+有附檔名稱不知所云的
也是同樣全砍了
不想因為一封信害死自己的電腦XD
確實,觀念遠比技術重要
那「@@@@@喔$$$$過幾天我就要去日本不知道甚麼時候才會回來,送上我ㄌ相片做紀念,一定要好好收藏喔!!!!!!!!!!!」然後給你一個相片的連結呢?
搞不好是真的!
果然是道高一尺,魔高一丈阿,只靠防毒軟體鐵定是不夠的,觀念正確才是上策
之前也是被email的附件害死,有一陣子很流行中毒後從通訊錄大量發送,所以來源都是正確的,標題也很OK,加上剛好當時工作上頻繁的和對方有互動,所以不加思索的點了下去....之後就開始使用WebMail了
這種不知用Sandboxie防不防的了呢?
應該是不行,因為你點連結的當下是會讓你的Email帳號密碼被盜的,只要一下下就很夠了
嗚!電腦程度不好,亂下載最近又中毒了
要多來大大這裡上課了 ^^
大大 我的小紅傘跑出http://www.wretch.cc/album/show.php?i=zxcvb5566288&b=5&f=1874327740&p=0 我到底要如何刪呢 我開FOXY就會跑出來 要是沒開就不會跑出來 我刪Temporary Internet Files哪的東西 在開FOXY還是會跑出來...要是拿給修電腦的 是不是白白得浪費錢 = = 不知是好..
我是不會用Foxy啦,因為我怕死!
還有你相簿沒開放你是要我看什麼?
http://www.wretch.cc/album/album.php?id=zxcvb5566288&book=5 我有開放....
這個.htm的檔案你沒有上網是不會生出來的,所以就是Foxy內建瀏覽器的網頁裡有問題,所以真的誠心建議你不要用了
其實我一直想寫一篇Foxy程式的真相,但是怕寫了之後惹到特定人士會來攻擊我的網站,所以只有一再的呼籲:不要再用Foxy了!
哪大大 我有中毒嗎...哪我不用FOXY抓哪孩可依用哪些抓呢 用迅雷會很好嗎
有沒有中毒我是沒辦法這樣就判斷出來
反正各取所需,你要人家的歌或是影片,人家要你硬碟中的資料還有你的密碼,很公平的!
天下沒有白吃的午餐這句話不是隨便說說的
哪我刪FOXY 感謝打打得意見
高大哥 請您公開 foxy的真相吧
不然私密留言給我也可以
拜託您了
你漏了這一篇
http://gordon168.tw/?p=380
還有如果沒有部落格,網址那邊就空白不要填任何資料
如果小~葛 要抓歌的話!! 我建議 伊利那邊 雖然論壇病毒 也不少
不過 目前暉 我還沒有中到半隻0.0
不過 還是買正版的好(支持正板~ 笑
這類的電子郵件在女性、學生、電腦層度低的新人類(嬰兒潮世代)廣為流傳
(這些人超愛轉寄信件分享一些有的沒有的!= =")
最糟的是,這些人還不大願意裝防毒軟體
所以連一些低等級或是非常過時的病毒也會中獎
大哥應該是在VM上面玩的吧?
話說我離開通資電學校後好久沒玩病毒了!XDD
當然是要用VM來玩,不然馬上死給你看
小a好用啦!!
它的開機掃描的掃描程度是一級棒><!!
恩...
高登大這樣的說法讓我想到,是不是因為現在的時代都亂搞些有的沒有的東西,像是喜歡傳一些朋友間那些新世代的東西(我是覺得那些東西很無聊),像是某些網址某些程式,導致現在那麼多病毒在散佈
我收信基本上也都只收一些正式的信件,像是104人力銀行
或者是CIC晶片中心,雅虎奇摩通知信諸如此類一看就知道肯定不是病毒信的,我就沒有這個困擾...
比較煩惱的是防毒軟體好像顯得很被動,不管用哪種的都很危險的樣子
新掘起的「病毒工業」背後有很大的商機,這跟詐騙集團一樣是不可能消失的!唯有大家小心一點才有可能將損害降到最低
可以介紹一下「病毒工業」嗎?
http://gordon168.tw/?p=23
高登大哥
是否可以因為個人使用習慣上的不同去選擇適合的防毒軟體
這篇提到的AVAST既然可以掃到毒信,那麼常收發MAIL的人是否就比較推薦這款,至於防木馬與全面性就推薦AVG
防毒軟體可以這樣去選擇嗎?
當然可以這樣考慮,但是之前也有avast漏掉病毒信的情形哦!
高登大我有個問題想請叫一下高登大
一般來說我的連線如果是傳送比接收還大
比方說是四千比兩千,那肯定是不正常吧
如果我沒開BT(有灌但沒開),只是上上網而已
那我要怎麼知道我是不是種了木馬?
因為家裡的筆店都是接收比傳送大很多
但是桌機卻不是如此
還是說因為我用破解版的XP所以沒有更新於是被入侵了?
電腦開機什麼事都不做看進出的流量,最好是有封包分析器來看,不然開DOS視窗 netstat -an 看連線
看了,可是列出一堆列表
proto Local address Foreign address state
有這些本地位址狀態的東西
列出一整排耶
該怎嚜去看?
看Foreign address連到哪裡,正常的過一段期間連線就會消失,有問題就會一直是連線的(在電腦沒有任何網路活動的時候)
好像找到了
原來是網路電視...
可是位址0.0.0.0這是什麼意思?
那是廣播位址
高登大哥
我這陣子一直觀察到就算沒有什麼連線狀態
除了那些廣播位址以外已經沒有連上什麼IP了
但是傳送還是會大於接收
這是怎麼回事?
其他人的電腦好像都不會這樣...
也有可能是區網的封包,這個就要裝程式抓封包分析了
不太懂高登大所說的....
看是不是跟自己的其他台電腦(區域網路)之間的傳輸
可是傳輸接收比例已經到達二比一了耶...
不知道怎麼回事
原來Avast!這麼會抓,但是他刪檔功力很差ㄟ
高登大大~
可以問一下嗎??
我不久前才換avast5.0 free版的
不知道好不好用~~
因為測試病毒檔他沒辦法測出來...avast4.8版的可以~~
所以在想說是不是需要在換回4.8版的
還是要換AVG 9.0的??
不知道哪一個效果會比較好~
我有在收e-mail也有一些蠻重要的檔案~~請大大推薦一下~~謝謝!!
我目前配合的是IObit Security 360這一套防木馬的軟體
不知道是否也有比較推薦的!!!
感謝!
avast 5.0用用看囉,我試的結果是還不錯啦!
至於防木馬的功能我沒有特別的推薦,不過裝一套防火牆倒是必要的
防火牆也是有蠻多種的~~
有什麼功能不錯!不會很多東西都莫名的擋下來的軟體呢??
防火牆我主推Comodo,簡單又有效
請問我的電腦線再開機都會多一個IEXPLORER.EXE的檔案
可是我沒有開IE啊
是中毒了嗎?
電腦變的也怪怪的,常常最自己跳東西出來,滑鼠有時候也不受控制
有什麼方法嗎?
你自己也知道是中毒了吧?
掃毒、重灌或是花錢請人處理
我家小紅傘一點反應都沒有......難道還要重裝嗎?
本來是不會中這事情的T口T,只是上次平常老爸的朋友都會利用skype
傳圖片過來,沒想到這次被騙了....
點起來怎麼點都開不起來的時候才發現黨名很奇怪,太大意了....
那高登老大是怎麼處理的呢?
小紅傘無效就換別家的,AVG,avast都有免費的,卡巴基斯也有一個月試用,自己解解看等你的回報哦
^^"在請問一下喔!
Comodo這個會和avast互衝嗎??
如果Comodo只裝防火牆當然沒就沒問題,最好不要同時裝兩套防毒軟體
嗯嗯~~非常感謝你~
哪個好心人可以教教我該怎麼趕走討厭的病毒咧
*檔案名稱:C:\1jief.cmd
*惡意程式名稱:Win32:Rootkit-gen [Rtk]
*惡意程式類別:Rootkit
有些exe檔都有這惡意程式
所以我不知道要如何解決
(我是用avast的)
換別牌的防毒或是avast最新的5.0版試試囉
請問一下微軟新出的防毒軟體好用嗎?可以擋下病毒嗎?有比雙A好嗎?
看市場沒有很多人用你應該就知道了,不能講太明
高登您好,
我使用avast 4.8家用版,有一個問題. 幾乎第一次開機都會開很久,而且a的符號顯示 "7個系統,5個運行中",只要是 "5個運行中", 一定當機, 就要強制關機, 再開一次, 就正常了,並且顯示 "7個系統,6個運行中. 已試過移除再安裝,還是一樣.
先前使用卡巴斯基很多年,最近才換avast,有把卡巴斯基全部移除掉了(我是這麼認為啦).不知道是哪裏出問題?
不知道是不是我的電腦比較老的關係?=.=
248MB RAM
WinXP SP3
Intel(R) Celern(R) M
processor 1300MHz, 1.29GHz
看了上列大家的留言,覺得我的問題好像有點笨,不過,還請您幫忙解答.
謝謝!
舊版的如果你是用撥號上網的就常會卡在開機的地方,新版的我最近試還好耶,請你改用新版5.0的吧
謝謝~我試看看~
最重要的是使用習慣~
其實
要上傳lnk還是可以在Windows裡面做
用cmd來rename就好了
再來就是
如果遇到的是"會自動輸入密碼的加密自解檔"
多包個幾層
webmail給的防毒就根本沒用了
cmd.exe改名也是一個不錯的點子,謝謝你!
高登你好:
請問一下avast開機掃描時你是怎麼截圖的
這是在虛擬機器(VirtualBox)上抓的
高登你好
你的網站讓我受益良多
解決我電腦上問題
我看到這篇文章 我剛好有目前有中獎...
請問我該如何解決
圖片網址 http://imm.io/media/4n/4nUz.bmp
http://imm.io/media/4n/4nUa.bmp
目前使用微毒防毒
希望你能幫助我
換我介紹的小紅傘防毒看能不能解掉,還有用Malwarebytes解解看,這是專門解木馬及網頁綁架的
如果還是不行可以考慮用開機光碟來掃毒
這幾個方法提供給你參考
高登你好
IE 首頁給改了,用Norton和金山也不行,如何解決??
1. 用 http://malwarebytes.org/ 解解看
2. 不要再用 IE 了,我是認真的
高登您好
我現在用360安全衛士(簡體的),但有些按鈕卻亂碼了,如何是好??
我是不建議用大陸牌的防毒,有的程式還會檢查你的系統是不是簡體版的,既然那麼好就留給他們自己用好了!
如果真的那麼好,全世界其他國家為什麼沒人要用?真的那麼厲害,你的電腦也不會 IE 被綁架了!
你自己好好想想吧
高登老師您好:
我的avast版本6.0版本的,最近掃到一種病毒,
2個名稱都是 win 32 Malware-gen,就跟您這篇網站上面avast的毒一樣,
奇怪的是,您的版本,視窗好像會跳出來阻擋,我是這陣子掃毒才掃到,
根本連警告視窗都沒跳出來,用很多家線上掃毒都掃不到,
因為avast不能丟到隔離區,它顯示的是 錯誤:操作並不支援這種壓縮檔...
開機掃瞄跟安全模式都試過了,連移到隔離區都不能,怎麼殺毒ㄚ?
讓我很懷疑,防毒軟體竟然殺不掉毒,覺得那還要繼續用它嗎?
請高登老師幫忙一下,謝謝
請提供是什麼檔案
1.C:\Documents and Settings\Administrator\Local Settings\Application Data\Downloaded Installations\{D647E6DF-D2DD-454C-BAF3-DEBB48E83E45}\
ACDsee10(Traditionalchinese).msi∣>Binary.NewBinary5∣>$SHELL[17]\|dnKw\$R0
2.C:\WINDOWS\installer\11384b.msi∣>Binary.NewBinary5∣>$SHELL[17]\|dnKw\$R0
有些檔名是後來用我用手打字的,像第1個檔名從\ACDsee後面都是用手打的,
看到一個檔案,但好像是說封包之類的,點不進去,第2個就完全找不到,
都是用手打字的,還用到一些特殊符號,不知道打的對不對?
那是某個瀏覽器的外掛,你去新增移除看有沒有什麼奇怪的toolbar之類的把它移除,還有可以進安全模式手動將這兩個檔案移除(記得要開啟隱藏檔顯示的選項)
最近改用無線上網, 但開機後會出現cmd.exe, 裡面有BIT2.tmp和system32什麼的, 掃過毒, cpu也正常, 想請教是哪裡有問題, 謝謝
很明顯的中毒症狀,自己不會處理就請人解毒吧
但昨天沒出現了, 別人有教我看附屬應用程式和啟動裡的東西, 他說都正常...