LNK病毒?
張貼日期:Feb 27, 2010 1:8:39 PM
日前收到一封信(EMAIL),叫維正張?
我也不清楚是哪來的朋友,也不認識這位仁兄,不過,他很大方的傳了一個東西給我…
(其實之前就收到他老兄寄的ZIP和LNK等檔,只是很懶的記錄下來,因為知道他是惡意程式)
嗯…看看吧,我國中時寫的作文?
不過檔案「副檔名」是LNK的(捷徑檔)
嗯…好吧!試試看,來做個實驗。
不過沒想到,AVAST老兄先當了起來!(強哦~~~)
但為了要順利下載,還是先把AVAST關掉。下載路徑在桌面上…
小時侯的作文?跟我的文件長的一模一樣,但是…當你點下去時,就準備發生一堆事了…
既然是捷徑,看看到底是執行什麼東西的捷徑,先看看內容吧!
目標?一串長長的文字,開始位置竟是在C糟的windows目錄下?
再看看他其他的設定…
看來是想「掩人耳目」寬及高都設定「1」…真是夠了…
而那一長串的目標內容:
看來不是什麼好東西…
嗯…我把「開始位置」改到D糟去,然後執行捷徑…
好死不死的,被我的FIREWALL給擋了下來
捷徑內是執行FTP並透過205.209.147.194 port 4106出去…
至於要出去蛋麻?我想八九不離十是取得一些有的沒有的文件、檔案或資料回來…
當然,在執行時…工作管理員也在執行cmd的動作…
看來就是幹那檔寬及高設定為「1」的事情!(上有敘述)
而隔三行下的ftp,一直無回應,原因是…被我用firewall給擋住了…
cmd在d糟蛋麻?看下圖就知道了,建立了三個檔案…
不過資料遲遲進不來…所以檔案大小也就一直維持在0k-1k左右…
y.bat和z檔,裡面的東西都是一樣…執行起來並沒什麼反應。
而c.vbs倒是空空的,看來是準備要破壞「機碼」的感覺…
執行捷徑所產生的三個怪檔,除了y.bat可被刪除掉外,餘二個被ftp鎖定
看來是要連外取得資料…
在lnk被封鎖後,再至d糟下執行y.bat,倒是沒啥反應,倒是出現了個c檔?
懶的翻譯了,就隨便翻譯機器翻一翻…
味精公司濫用?哇哩咧…什麼跟什麼…
不過登記組織是在「上海」?嗯…看來狀況不是很好…
所以…lnk等檔不要太好奇,既使有防毒、防火牆也是一樣,我倒是沒把惡意程式引進,因為我已有同學及親戚中到連相機也有…
真不知道他們是怎麼玩的…
參考資料:http://blog.ez2learn.com/2009/10/03/shortcut-file-virus/