寫病毒的都有在看,你呢?

你認為那些寫病毒程式的人現在還是放毒純自High?還是用散播病毒來賺錢?答案當然是後者。也就因為有利可圖,那些人可是用盡各種辦法要把電腦病毒送給你!

而很明顯的那些人還會參考網路上教大家如何判斷是不是病毒信的文章,針對這些文章中所說的作法一一破解,讓你一不小心就會中招。而今天高登要跟大家分享的就是一個抓毒的過程,或許大部份的人看到「疑似」有毒的信件二話不說就砍了,但是在好奇心的驅使之下,高登就有了這一趟「病毒之旅」。

好朋友就是要毒你!

首先是前天收到友人寄來的信件,裡面只有簡短的一句話加上一個「情色喜劇之我愛友家.zip」附檔,當然標題要寫得很慫動為的就是激起你的好奇心!(不是一定就是這個標題,但是一定是類似這樣的寫法)

而一樣依照慣例,免費信箱所用的防毒程式告訴你「沒有偵測到病毒」,你可以放心下載(死的比較快)!

這個壓縮檔下載甚至打開都還不會中毒,裡面是一個「情色喜劇之我愛友家.lnk」的連結檔,你千萬不要直接點這個連結檔,因為會上網然後你就中毒了!

我先把這個連結檔用WinRAR內建的檢視器開啟,結果看到裡面一大堆可疑的指令:

讓我來猜一下:這個連結檔應該會叫用「cmd.exe」命令提示字元來下載一些檔案,而且連結檔指定是用「IEXPLORER.EXE」來開啟,所以就算你的預設瀏覽器不是IE一樣會中招!

Virustotal也沒用了

最恐怖的是:我們一直教大家有問題的檔案就上傳到www.virustotal.com這一招已經沒用了,因為你要上傳這個「情色喜劇之我愛友家.lnk」時,會變成你要上傳「cmd.exe」!

所以你不小心看會以為這個檔案無毒(你的cmd.exe有毒那才慘咧)!

但是正確的報告應該是這樣:目前只有8隻防毒有抓到,大家比較熟知的只有avast!抓到是「Win32:Lnkget」跟卡巴斯基能抓到「Trojan-Downloader.Win32.Pif.vk」,其他的再過幾天應該就會抓到了,但是現在病毒就是利用「這幾天」的空窗期來散播的!

或許有人會好奇:你是如何上傳的?答案就是「Ubuntu」,事實上所有的非Windows的作業系統應該都可以!

雲端防毒一樣沒轍

而現在有幾家標榜能更快抓到病毒的「雲端防毒」在這一次的測試中「熊貓Panda」因為裝完了還要填Email才能啟用,我看了很不爽就沒試了(真的很沒誠意,又是另一個釣魚?),另外兩個「趨勢WTP addon」跟「Immunet」兩個都抓不到,不過Immunet我有設成監控安裝程式,所以記錄到了一些可疑的活動,這也證明了前面的猜測無誤!

首先點擊這個連結檔你會看到DOS視窗閃一下又不見了,它是叫用了tftp.exe或是ftp.exe去網路上下載病毒檔回來:

下載回來的檔案是「d.exe」放在Windows目錄之下(不一定是這個檔名,應該很快又會有升級版出來)。

而這個「d.exe」就真的有毒了,但是這也只是過渡的程式,它再用這個「d.exe」生成另一個「gfhnn.exe」放在C:\Windows\system32系統目錄裡面:(以後還會有其他名稱的檔案出現)

用DOS視窗看了一下果然有這個檔案,但是麻煩的是:這個檔案的日期是2000年的,像我一般會找最近日期的檔案這一招又不靈了!

用「gfhnn.exe」的名稱在登錄裡面搜尋了一下,果然放在一開機就執行的「HKLM/SOFTWARE/Microsoft/WindowNT/CurrentVersion/Winlogon」裡面,在電腦一開機時就載入病毒程式。

如果你在中毒的電腦要上傳這個「gfhnn.exe」的話,你是無法上傳的!

avast!又回來了

或許這只是個案,但是被我遺棄好久的avast!防毒這一次的表現令人刮目相看,我試了一下真的在開機掃瞄就抓到了這隻毒:

就算是執行那個有毒的連結檔,也是可以擋下有毒的「d.exe」:

以上的報告不知道大家看了之後有什麼感想?真的是遊戲規則一直在變,大家要小心囉!