防不勝防的病毒信

寫病毒的都有在看,你呢?

你認為那些寫病毒程式的人現在還是放毒純自High?還是用散播病毒來賺錢?答案當然是後者。也就因為有利可圖,那些人可是用盡各種辦法要把電腦病毒送給你!

而很明顯的那些人還會參考網路上教大家如何判斷是不是病毒信的文章,針對這些文章中所說的作法一一破解,讓你一不小心就會中招。而今天高登要跟大家分享的就是一個抓毒的過程,或許大部份的人看到「疑似」有毒的信件二話不說就砍了,但是在好奇心的驅使之下,高登就有了這一趟「病毒之旅」。

好朋友就是要毒你!

首先是前天收到友人寄來的信件,裡面只有簡短的一句話加上一個「情色喜劇之我愛友家.zip」附檔,當然標題要寫得很慫動為的就是激起你的好奇心!(不是一定就是這個標題,但是一定是類似這樣的寫法)

防不勝防的病毒信

而一樣依照慣例,免費信箱所用的防毒程式告訴你「沒有偵測到病毒」,你可以放心下載(死的比較快)!

防不勝防的病毒信

這個壓縮檔下載甚至打開都還不會中毒,裡面是一個「情色喜劇之我愛友家.lnk」的連結檔,你千萬不要直接點這個連結檔,因為會上網然後你就中毒了!

防不勝防的病毒信

我先把這個連結檔用WinRAR內建的檢視器開啟,結果看到裡面一大堆可疑的指令:

防不勝防的病毒信

讓我來猜一下:這個連結檔應該會叫用「cmd.exe」命令提示字元來下載一些檔案,而且連結檔指定是用「IEXPLORER.EXE」來開啟,所以就算你的預設瀏覽器不是IE一樣會中招!

Virustotal也沒用了

最恐怖的是:我們一直教大家有問題的檔案就上傳到www.virustotal.com這一招已經沒用了,因為你要上傳這個「情色喜劇之我愛友家.lnk」時,會變成你要上傳「cmd.exe」!

防不勝防的病毒信

所以你不小心看會以為這個檔案無毒(你的cmd.exe有毒那才慘咧)!

防不勝防的病毒信

但是正確的報告應該是這樣:目前只有8隻防毒有抓到,大家比較熟知的只有avast!抓到是「Win32:Lnkget」跟卡巴斯基能抓到「Trojan-Downloader.Win32.Pif.vk」,其他的再過幾天應該就會抓到了,但是現在病毒就是利用「這幾天」的空窗期來散播的!

防不勝防的病毒信

或許有人會好奇:你是如何上傳的?答案就是「Ubuntu」,事實上所有的非Windows的作業系統應該都可以!

雲端防毒一樣沒轍

而現在有幾家標榜能更快抓到病毒的「雲端防毒」在這一次的測試中「熊貓Panda」因為裝完了還要填Email才能啟用,我看了很不爽就沒試了(真的很沒誠意,又是另一個釣魚?),另外兩個「趨勢WTP addon」跟「Immunet」兩個都抓不到,不過Immunet我有設成監控安裝程式,所以記錄到了一些可疑的活動,這也證明了前面的猜測無誤!

首先點擊這個連結檔你會看到DOS視窗閃一下又不見了,它是叫用了tftp.exe或是ftp.exe去網路上下載病毒檔回來:

防不勝防的病毒信

下載回來的檔案是「d.exe」放在Windows目錄之下(不一定是這個檔名,應該很快又會有升級版出來)。

防不勝防的病毒信

而這個「d.exe」就真的有毒了,但是這也只是過渡的程式,它再用這個「d.exe」生成另一個「gfhnn.exe」放在C:\Windows\system32系統目錄裡面:(以後還會有其他名稱的檔案出現)

防不勝防的病毒信

用DOS視窗看了一下果然有這個檔案,但是麻煩的是:這個檔案的日期是2000年的,像我一般會找最近日期的檔案這一招又不靈了!

防不勝防的病毒信

用「gfhnn.exe」的名稱在登錄裡面搜尋了一下,果然放在一開機就執行的「HKLM/SOFTWARE/Microsoft/WindowNT/CurrentVersion/Winlogon」裡面,在電腦一開機時就載入病毒程式。

防不勝防的病毒信

如果你在中毒的電腦要上傳這個「gfhnn.exe」的話,你是無法上傳的!

防不勝防的病毒信

avast!又回來了

或許這只是個案,但是被我遺棄好久的avast!防毒這一次的表現令人刮目相看,我試了一下真的在開機掃瞄就抓到了這隻毒:

防不勝防的病毒信

就算是執行那個有毒的連結檔,也是可以擋下有毒的「d.exe」:

防不勝防的病毒信

以上的報告不知道大家看了之後有什麼感想?真的是遊戲規則一直在變,大家要小心囉!

85 則留言

  1. 碳碳認為...很聳動的信件名稱和附加檔案趨近於百分之百是病毒,
    不知道怎麼搞的,碳碳就覺得只要是很「官方」的口語就感覺是假的
    比如說:
    你想要求職嗎?在這裡通通幫你分類好的工作...等等的(這段是碳碳掰的)

    微軟作孽系統(別懷疑,是作孽系統)有還原程式來測試xD

  2. 我都不相信防毒軟體, 所以, 都沒裝 😛
    因為空窗期總是會有的!!

    像這類的附件, 我都是連信直接刪除,
    如果有空, 我會再發 MSN 或 Mail 告訴對方,
    你的 eMail 資料被盜用了...

    很多時候, 我沒把怎麼找毒的方法寫出來,
    就是在想, 如果寫毒的人, 多多參考像您公開出來的撇步
    去防止簡單快速找毒法, 那毒就愈來愈難找 XD

  3. 我現在 還再用 AVG耶...

    難不能又要 換成 avast @ˇ@!

    我偶而 會下載 最新版的 DR web(大蜘蛛)來掃毒一下
    聽說這個 抓毒能力滿強的.

    DR web 假如有出防毒軟體 應該會滿多人用的吧!

  4. 這hotmail信件附帶的病毒檔流傳好久了...我2009/10月就碰到一、兩封,沒想到現在防毒軟體,居然還有能不都判讀到(@-@),真是讓人擔憂啊,我當時是用comodo防火牆+防毒,也沒擋下...不過卻跳出程式執行錯誤,可能那時病毒沒寫好吧(笑)。

  5. 拜讀之後記得自己有收到過...
    不過,個人的觀念就像是樓上一些朋友一樣
    雖然沒做到連裝都不裝那麼[豁達]XD
    不過幾乎是聳動的標題(大多都是情色)+怪異的連結
    不管是不是朋友都會直接刪除
    同時寄件人的名稱如果很詭異的+有附檔名稱不知所云的
    也是同樣全砍了
    不想因為一封信害死自己的電腦XD

    確實,觀念遠比技術重要

    • 那「@@@@@喔$$$$過幾天我就要去日本不知道甚麼時候才會回來,送上我ㄌ相片做紀念,一定要好好收藏喔!!!!!!!!!!!」然後給你一個相片的連結呢?
      搞不好是真的!

  6. 果然是道高一尺,魔高一丈阿,只靠防毒軟體鐵定是不夠的,觀念正確才是上策

    之前也是被email的附件害死,有一陣子很流行中毒後從通訊錄大量發送,所以來源都是正確的,標題也很OK,加上剛好當時工作上頻繁的和對方有互動,所以不加思索的點了下去....之後就開始使用WebMail了

    這種不知用Sandboxie防不防的了呢?

  7. 大大 我的小紅傘跑出http://www.wretch.cc/album/show.php?i=zxcvb5566288&b=5&f=1874327740&p=0 我到底要如何刪呢 我開FOXY就會跑出來 要是沒開就不會跑出來 我刪Temporary Internet Files哪的東西 在開FOXY還是會跑出來...要是拿給修電腦的 是不是白白得浪費錢 = = 不知是好..

  8. 這類的電子郵件在女性、學生、電腦層度低的新人類(嬰兒潮世代)廣為流傳
    (這些人超愛轉寄信件分享一些有的沒有的!= =")
    最糟的是,這些人還不大願意裝防毒軟體
    所以連一些低等級或是非常過時的病毒也會中獎
    大哥應該是在VM上面玩的吧?
    話說我離開通資電學校後好久沒玩病毒了!XDD

  9. 恩...
    高登大這樣的說法讓我想到,是不是因為現在的時代都亂搞些有的沒有的東西,像是喜歡傳一些朋友間那些新世代的東西(我是覺得那些東西很無聊),像是某些網址某些程式,導致現在那麼多病毒在散佈

    我收信基本上也都只收一些正式的信件,像是104人力銀行
    或者是CIC晶片中心,雅虎奇摩通知信諸如此類一看就知道肯定不是病毒信的,我就沒有這個困擾...

    比較煩惱的是防毒軟體好像顯得很被動,不管用哪種的都很危險的樣子

  10. 高登大哥
    是否可以因為個人使用習慣上的不同去選擇適合的防毒軟體
    這篇提到的AVAST既然可以掃到毒信,那麼常收發MAIL的人是否就比較推薦這款,至於防木馬與全面性就推薦AVG

    防毒軟體可以這樣去選擇嗎?

  11. 高登大我有個問題想請叫一下高登大
    一般來說我的連線如果是傳送比接收還大
    比方說是四千比兩千,那肯定是不正常吧
    如果我沒開BT(有灌但沒開),只是上上網而已
    那我要怎麼知道我是不是種了木馬?
    因為家裡的筆店都是接收比傳送大很多
    但是桌機卻不是如此
    還是說因為我用破解版的XP所以沒有更新於是被入侵了?

  12. 高登大哥
    我這陣子一直觀察到就算沒有什麼連線狀態
    除了那些廣播位址以外已經沒有連上什麼IP了
    但是傳送還是會大於接收
    這是怎麼回事?
    其他人的電腦好像都不會這樣...

  13. 高登大大~
    可以問一下嗎??
    我不久前才換avast5.0 free版的
    不知道好不好用~~
    因為測試病毒檔他沒辦法測出來...avast4.8版的可以~~
    所以在想說是不是需要在換回4.8版的
    還是要換AVG 9.0的??
    不知道哪一個效果會比較好~
    我有在收e-mail也有一些蠻重要的檔案~~請大大推薦一下~~謝謝!!
    我目前配合的是IObit Security 360這一套防木馬的軟體
    不知道是否也有比較推薦的!!!
    感謝!

  14. 請問我的電腦線再開機都會多一個IEXPLORER.EXE的檔案

    可是我沒有開IE啊

    是中毒了嗎?

    電腦變的也怪怪的,常常最自己跳東西出來,滑鼠有時候也不受控制

    有什麼方法嗎?

  15. 我家小紅傘一點反應都沒有......難道還要重裝嗎?

    本來是不會中這事情的T口T,只是上次平常老爸的朋友都會利用skype

    傳圖片過來,沒想到這次被騙了....

    點起來怎麼點都開不起來的時候才發現黨名很奇怪,太大意了....

    那高登老大是怎麼處理的呢?

  16. 哪個好心人可以教教我該怎麼趕走討厭的病毒咧

    *檔案名稱:C:\1jief.cmd
    *惡意程式名稱:Win32:Rootkit-gen [Rtk]
    *惡意程式類別:Rootkit

    有些exe檔都有這惡意程式
    所以我不知道要如何解決
    (我是用avast的)

  17. 高登您好,
    我使用avast 4.8家用版,有一個問題. 幾乎第一次開機都會開很久,而且a的符號顯示 "7個系統,5個運行中",只要是 "5個運行中", 一定當機, 就要強制關機, 再開一次, 就正常了,並且顯示 "7個系統,6個運行中. 已試過移除再安裝,還是一樣.
    先前使用卡巴斯基很多年,最近才換avast,有把卡巴斯基全部移除掉了(我是這麼認為啦).不知道是哪裏出問題?
    不知道是不是我的電腦比較老的關係?=.=
    248MB RAM
    WinXP SP3
    Intel(R) Celern(R) M
    processor 1300MHz, 1.29GHz
    看了上列大家的留言,覺得我的問題好像有點笨,不過,還請您幫忙解答.
    謝謝!

  18. 最重要的是使用習慣~

    其實
    要上傳lnk還是可以在Windows裡面做
    用cmd來rename就好了

    再來就是
    如果遇到的是"會自動輸入密碼的加密自解檔"
    多包個幾層
    webmail給的防毒就根本沒用了

    • 我是不建議用大陸牌的防毒,有的程式還會檢查你的系統是不是簡體版的,既然那麼好就留給他們自己用好了!
      如果真的那麼好,全世界其他國家為什麼沒人要用?真的那麼厲害,你的電腦也不會 IE 被綁架了!
      你自己好好想想吧

  19. 高登老師您好:
    我的avast版本6.0版本的,最近掃到一種病毒,
    2個名稱都是 win 32 Malware-gen,就跟您這篇網站上面avast的毒一樣,
    奇怪的是,您的版本,視窗好像會跳出來阻擋,我是這陣子掃毒才掃到,
    根本連警告視窗都沒跳出來,用很多家線上掃毒都掃不到,
    因為avast不能丟到隔離區,它顯示的是 錯誤:操作並不支援這種壓縮檔...
    開機掃瞄跟安全模式都試過了,連移到隔離區都不能,怎麼殺毒ㄚ?
    讓我很懷疑,防毒軟體竟然殺不掉毒,覺得那還要繼續用它嗎?
    請高登老師幫忙一下,謝謝

    • 1.C:\Documents and Settings\Administrator\Local Settings\Application Data\Downloaded Installations\{D647E6DF-D2DD-454C-BAF3-DEBB48E83E45}\
      ACDsee10(Traditionalchinese).msi∣>Binary.NewBinary5∣>$SHELL[17]\|dnKw\$R0

      2.C:\WINDOWS\installer\11384b.msi∣>Binary.NewBinary5∣>$SHELL[17]\|dnKw\$R0

      有些檔名是後來用我用手打字的,像第1個檔名從\ACDsee後面都是用手打的,
      看到一個檔案,但好像是說封包之類的,點不進去,第2個就完全找不到,
      都是用手打字的,還用到一些特殊符號,不知道打的對不對?

      • 那是某個瀏覽器的外掛,你去新增移除看有沒有什麼奇怪的toolbar之類的把它移除,還有可以進安全模式手動將這兩個檔案移除(記得要開啟隱藏檔顯示的選項)

  20. 最近改用無線上網, 但開機後會出現cmd.exe, 裡面有BIT2.tmp和system32什麼的, 掃過毒, cpu也正常, 想請教是哪裡有問題, 謝謝

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料