電子情書夾帶風暴蠕蟲
2008 年 02 月 14 日 – 17:24:00這幾天收到大量有關西洋情人節的電子郵件,內容都包含一個下載連結,開啟其中一個,電腦就叫個不停,發送大量的外部封包,喔,原來是風暴蠕蟲(Storm Worm)。如果各位收到類似的電子郵件,千萬別執行來路不明的連結,否則,就送您上天堂囉!
展示影片,請看這裡 (高解析度的AVI檔,請從這裡下載,影片解碼器,可以在VMWARE網站上下載)。
執行之後,有下面的行為(具有Rootkit行為):
[Added service]
NAME: diperto1e9d-1b49
DISPLAY: diperto1e9d-1b49
FILE: \??\C:\WINDOWS\system32\diperto1e9d-1b49.sys
[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\valentine[1].exe
C:\WINDOWS\system32\diperto.ini
C:\WINDOWS\system32\diperto1e9d-1b49.sys
到目前為止 (2008/2/14 @ 16:25),下面的防毒軟體(32家中,只有19家偵測到)可以偵測到這些惡意檔案 (僅提供參考):
AhnLab-V3:
AntiVir: Worm/Zhelatin.pb
Authentium:
Avast:
AVG: I-Worm/Nuwar.N
BitDefender: Trojan.Peed.IWW
CAT-QuickHeal:
ClamAV: Trojan.Peed-103
DrWeb: Trojan.Packed.357
eSafe: Suspicious File
eTrust-Vet: Win32/Sintun!generic
EwidoL:
FileAdvisor:
Fortinet: W32/PackTibs.M
F-Prot: W32/Zhelatin.F.gen!Eldorado
F-Secure: Packed.Win32.Tibs.ic
Ikarus: Trojan.Peed.IWV
Kaspersky: Packed.Win32.Tibs.ic
McAfee: W32/Nuwar@MM
Microsoft: TrojanDropper:Win32/Nuwar.gen!B
NOD32v2: probably a variant of Win32/Nuwar.Gen
Norman:
Panda:
Prevx1:
Sophos: W32/Dorf-AW
Sunbelt:
Symantec: Trojan.Peacomm
TheHacker:
VBA32:
VirusBuster: Trojan.DR.Tibs.Gen!Pac.142
Webwasher-Gateway: Worm.Zhelatin.pb
Trend Micro: WORM_NUWAR.AR
附加訊息
File size: 121857 bytes
MD5: a932b94554f91e4cbd24f204f8dfe577
SHA1: 5fdc1488dd85af9265e398fe4b402c87a845c17f
PEiD: MinGW GCC 3.x
詳細掃描結果,請參考這裡。
