大砲開講

假Yahoo拍賣之名，行木馬散播之實

2008 年 05 月 12 日 – 11:56:42

注意：此木馬具有側錄功能，能記錄鍵盤的動作。

昨天收到兩封標題為「已轉帳通知」的電子郵件，裡面夾帶一個名為「土銀ATM明細表（已含運費在內）.rar」的附件檔，內行人一看就知道有問題，當然，對象不是我，是我的家人，結果一定會去執行它，好險被小紅傘給發現了。

在這裡我要特別說明，幾天前，我的家人開始在Yahoo拍賣上賣東西，幾天後，就收到這些有問題的電子郵件，效率之高，令人吒舌，難道，Yahoo都不知道嗎？Yahoo需不需要負責呢？

如果您有收到此封電子郵件，麻煩回覆一下，謝謝。

此封電子郵件畫面，如下所示：

Yahoo Mail內建掃毒引擎掃描結果，如下所示：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\system32\sffgkk.dat

[Added service]
NAME: Pdferar
DISPLAY: Pdferar
FILE: C:\WINDOWS\System32\sffgkk.exe -service

[Added file]
C:\Temp\ATM\ATM.exe
C:\WINDOWS\system32\KLog.dat
C:\WINDOWS\system32\sffgkk.dat
C:\WINDOWS\system32\sffgkk.exe

到目前為止 (2008/5/11 @ 20:12)，下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考)：

sffgkk.dat:
[     Microsoft    ], "[->(tElock v0.98)]:TrojanSpy:Win32/Agent.CI"
[     Kaspersky    ], "PAK:PE_Patch, PAK:TeLock"
[     McAfee       ], "Generic BackDoor.t"
[     McAfee_Beta  ], "Generic BackDoor.t"
[     Sophos       ], "Mal/Behav-181, Mal/Behav-010″
[     Nod32        ], "probably a variant of Win32/Genetik trojan"
[     Fortinet     ], "BackDoor.T!tr"
[     HBEDV        ], "TR/Crypt.XPACK.Gen"
[     Ikarus       ], "Trojan-Spy.Win32.Agent.ci"
[     Grisoft      ], "Trojan horse BackDoor.Generic9.ALYR"
[     eAladdin     ], "Suspicious File [104]"
[     Sunbelt      ], "VIPRE.Suspicious"
[     WebWasher    ], "BlockReason.46 (suspicious)"
sffgkk.exe:
[     Microsoft    ], "[->(tElock v0.98)]:TrojanSpy:Win32/Agent.PI"
[     Kaspersky    ], "PAK:PE_Patch, PAK:TeLock"
[     Sophos       ], "Mal/Emogen-Y"
[     Nod32        ], "[?tElock v0.98]:probably a variant of Win32/Genetik trojan"
[     HBEDV        ], "TR/Crypt.CFI.Gen"
[     Norman       ], "Trojan W32/Smalltroj.EGZS"
[     Grisoft      ], "Trojan horse Generic10.UIH"
[     eAladdin     ], "Suspicious File [104]"
[     Sunbelt      ], "VIPRE.Suspicious"
[     WebWasher    ], "Trojan.Crypt.CFI.Gen"
ATM.exe:
[     Microsoft    ], "[->(tElock v0.98)]:TrojanSpy:Win32/Agent.PI"
[     Kaspersky    ], "PAK:PE_Patch, PAK:TeLock"
[     Sophos       ], "Mal/Emogen-Y"
[     Nod32        ], "[?tElock v0.98]:probably a variant of Win32/Genetik trojan"
[     HBEDV        ], "TR/Crypt.CFI.Gen"
[     Norman       ], "Trojan W32/Smalltroj.EGZS"
[     Grisoft      ], "Trojan horse Generic10.UIH"
[     eAladdin     ], "Suspicious File [104]"
[     Sunbelt      ], "VIPRE.Suspicious"
[     WebWasher    ], "Trojan.Crypt.CFI.Gen"