最近郵件病毒又在擴散了... 而且標題都是想利用大家熱心助人的好心好意來讓人掉入陷井。
案例一:
郵件標題:
拜託啦,幫幫忙!
郵件內容:
拜託啦,幫幫忙!麻煩你,謝謝你哦!
邱意婷
242
台北縣新莊市建國一路49號之311室
郵件附檔:
老大.zip
阿湯解析:
這一個 zip 檔, 解壓之後為 老大.cmd, 但其實是一個 rar 自解檔。所以改副檔名為 老大.rar 後, 可以解壓出數張美女圖片及二個 exe 檔。一個是 inst.exe 另一個是 setup.exe, inst.exe 又是 rar 自解檔, 所以裡面有設定解壓時, 會執行 setup.exe 這個實際的惡意程式。至於惡意程式的分析, 就請參考 norman sanbox 的結果:
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Accesses executable file from resource section.
* File length: 75364 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\2.bat.
* Creates file C:\WINDOWS\HELP\F3C74E3FA248.dll.
[ Changes to registry ]
* Creates key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\".
* Sets value \"\"=\"SSUUDL\" in key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\".
* Creates key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\".
* Sets value \"\"=\"C:\WINDOWS\HELP\F3C74E3FA248.dll\" in key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\".
* Sets value \"ThreadingModel\"=\"Apartment\" in key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\".
[ Network ]
* Hooks into Shell explorer.
[ Process/window information ]
* Creates a mutex WSXIHUDS.
案例二:
郵件標題:
緊急的問題!!希望高手可以幫幫忙
郵件內容:
幫幫忙啦! 我想買隻索尼愛立信行動電話,W810i和W610i這兩款都不錯!可是買w610i它的記憶卡是m2ㄉ.w810i的記憶卡是ms pro duo.m2插上轉接卡就是ms pro duo所以實用性較高.而w610i的記憶卡塞是硬塑膠不像w810i是象皮的<<==較容易變形.不知道買什麼好了!幫我看看拿個主意可以ㄇ? 一定要跟我說啦!
郵件附檔: 無
阿湯解析:
又是利用手機的話題, 來跟大家裝熟, 不過寄件者還是認識的朋友, 只是不小心已經中毒了。一個簡單的 .jpg 連結, 大家以為是張圖片, 但仔細看喔, 它可不是真的是圖片的連結, 它是 index.asp 的一個參數, 所以當你點下去之後, "聽說" 會下載一個 movie.scr 的檔案, 為什麼是聽說呢? 因為阿湯奮不顧身的替大家點下去時已經太晚了, 檔案已經不在了。
總結:
(1) 病毒傳播, 不外乎還是郵件, 即時通訊為主要媒介, 大家要提高警覺
(2) 散播手法, 還是利用社交工程, 寄件者是你不小心中毒的朋友, 內容是跟你裝熟的內容, 還想利用你古道熱腸的心, 叫你來幫幫忙。
(3) 所以: 就算是熟人寄的, 不要亂點, 不要亂執行。(漸漸的大家都不熟了 >"<)
作者: Thomas Chuang / 莊添發
- CISSP。
- 美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士。
- 『WiFi Hacking! 無線網路駭客攻防戰』一書作者。
- 目前為國際資訊安全公司資深技術顧問。
- 曾任職資訊公司亞太區資深資安顧問。主要領域為資安防護規劃、風險管理與弱點評估、攻擊與滲透測試,以及無線網路安全,並且也曾擔任Foundstone Ultimate Hacking 講師,於亞太區六個國家十餘個城市開課。
