Yahoo奇摩信箱寄來的惡意程式:風騷女vs風騷男

2008 年 10 月 21 日 – 12:52:39

最近常常收到姐姐寄來的郵件,標題都很奇怪,這封的標題為「風騷女vs風騷男」(您會不會上當呢?),可見我姐姐的電腦應該中毒了(他們公司用NOD32),自己都不知道,請各位小心囉。

此附件檔是CAB壓縮檔格式,企圖躲避防毒軟體的偵測。

CAB檔案內容,如下圖所示:

下圖是我機器上小紅傘偵測的情形:

下列是 VirusTotal 掃描結果 (僅提供參考):

檔案 _________vs_________.cab 接收於 2008.10.21 06:33:18 (CET) (不支援中文檔名)

結果: 11/36 (30.56%)
反病毒引擎     版本     最後更新     掃瞄結果
AhnLab-V3     2008.10.18.0     2008.10.20     -
AntiVir     7.9.0.5     2008.10.20     TR/Crypt.XPACK.Gen
Authentium     5.1.0.4     2008.10.21     W32/Onlinegames.gen
Avast     4.8.1248.0     2008.10.15     -
AVG     8.0.0.161     2008.10.20     PSW.OnlineGames.2.AE
BitDefender     7.2     2008.10.21     -
CAT-QuickHeal     9.50     2008.10.20     Win32.Packed.Krap.b.3
ClamAV     0.93.1     2008.10.21     -
DrWeb     4.44.0.09170     2008.10.21     -
eSafe     7.0.17.0     2008.10.19     Suspicious File
eTrust-Vet     31.6.6160     2008.10.20     -
Ewido     4.0     2008.10.20     -
F-Prot     4.4.4.56     2008.10.20     W32/Onlinegames.gen
F-Secure     8.0.14332.0     2008.10.21     -
Fortinet     3.113.0.0     2008.10.21     -
GData     19     2008.10.21     -
Ikarus     T3.1.1.44.0     2008.10.20     Worm.Win32.Viking.ex
K7AntiVirus     7.10.500     2008.10.20     -
Kaspersky     7.0.0.125     2008.10.21     -
McAfee     5409     2008.10.21     PWS-OnlineGames.y.gen
Microsoft     1.4005     2008.10.21     -
NOD32     3539     2008.10.21     -
Norman     5.80.02     2008.10.20     -
Panda     9.0.0.4     2008.10.20     -
PCTools     4.4.2.0     2008.10.20     -
Prevx1     V2     2008.10.21     -
Rising     20.67.02.00     2008.10.21     -
SecureWeb-Gateway     6.7.6     2008.10.21     Trojan.Crypt.XPACK.Gen
Sophos     4.34.0     2008.10.21     Troj/PWS-AUF
Sunbelt     3.1.1741.1     2008.10.21     VIPRE.Suspicious
Symantec     10     2008.10.21     -
TheHacker     6.3.1.0.121     2008.10.21     -
TrendMicro     8.700.0.1004     2008.10.21     -
VBA32     3.12.8.8     2008.10.21     -
ViRobot     2008.10.20.1428     2008.10.20     -
VirusBuster     4.5.11.0     2008.10.20     -

附加訊息
File size: 130292 bytes
MD5…: 8f5d9d19be60fff772bb4b2c1293589c
SHA1..: 9422cf44e7039891cbc0acb25f336a62fbefdcde
SHA256: 244d8baa9931742e6caf12181dcc7acc2bc06a1937c4c99b3a7b1fe99db219cc
SHA512: 414b1db81bd1213bd467b8205439c83cd7bc160ed9a471aed5b6c930541611f8
2aa0ef668f5ecb9966848277e1c6f03ff3ccb0071a347aef95a18edf082b21da
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -

  1. “Yahoo奇摩信箱寄來的惡意程式:風騷女vs風騷男” 目前有 6 迴響

  2. 這類型的病毒已經可以是流傳超久、變種超多
    從以前的exe、bat進化至目前的cab、arj

    知名大廠的防毒往往都是最後才會列進去
    真是不知民間疾苦ˊˋ

    每天的奇摩信箱裏都收到一堆這種信件
    然後又一堆朋友跑去點開
    接著又是一堆開始亂寄這類信件的…

    PS:
    真的很想建議消基會幫忙監控一下
    那麼懶得處理,就應該退費啊!!!

    By 迷思 on 2008 年 10 月 22 日 - 10:18:47

  3. 有報的都是入基因庫了
    沒入的死就是不入,所以才一直沒法偵測

    By 阿宅 on 2008 年 10 月 22 日 - 21:32:00

  4. Hi Roger,
    好久不見 ,
    這邊也有一篇關於Yahoo 信箱被入侵的報導,被害者是美國副總統候選人Sarah Palin,有空來逛逛

    「駭客居然知道我和阿那達是在哪裡認識的!」
    http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=20223&blogId=1252

    這邊文章經常更新,有空來給點意見吧

    By 崔嘻 on 2008 年 10 月 22 日 - 23:02:31

  5. Yahoo病毒信已經被駭客鎖定,因為有針對yahoo帳號撰寫的竊取帳密木馬,竊取來的帳密用來散佈更多木馬,惡性循環,可見得yahoo對此根本毫無對策,此類病毒信件多是由大陸福建寄出,只要點選郵件的完整標題,就可以看見對岸IP了

    By Jim on 2008 年 10 月 23 日 - 03:38:52

  6. 基本上,小廠都早已經對這類型的威脅報殼了,看AntiVir,F-Prot,CAT等都是報殼.

    By Krmisoys on 2008 年 10 月 23 日 - 21:30:27

  7. 之前有回報過奇摩,因為程式會"登入"使用者信箱,還會在信箱備份裡留下信件,我基本上認為Yahoo的信箱程式本身也有漏洞(可能有儲存密碼在cookie?才會被盜?)..因為不太可能擷取密碼之後,以人工登入再寄信,這樣散播就太慢..
    但是奇摩方面只會回答,需要掃毒
    並未將我設想的狀況跟工程部說
    (其實奇摩的客服是外包..當然只能很制式的回答)
    一年多前就有此類病毒產生,hotmail,gmail沒有"雙認證"都不會被盜密碼,然後寄出病毒信,為什麼Yahoo的信箱會呢?

    By Dii on 2008 年 11 月 30 日 - 03:34:48

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).