情人節即將來臨,提醒電腦使用者,千萬別亂點電子情書內的連結。吉瑞科技最近發現,由雅虎奇摩信箱所寄出的電子郵件(標題為「能陪你過一輩子的人?是我還是另有某人呢?」),內容暗藏惡意連結。如果使用者不小心點擊郵件內的連結,將會下載一個名為「like.com」的檔案,經過檢測,此檔案內含「TR/Crypt.XPACK.Gen」木馬程式。當此木馬在您的電腦上執行後,它將會竊取使用者帳號與密碼,請網友們千萬要小心。
吉瑞科技建議,一旦使用者接獲標題聳動或可疑之電子郵件時,千萬別太衝動,任意點擊信件內含之連結,以避免電腦中毒。如果使用者所使用的防毒軟體支援過濾檔案格式的話,建議將高風險性的檔案(例如,執行檔等)過濾掉,以降低中毒風險。
【有關吉瑞科技】
長期觀察與研究資訊安全威脅,以及專注於研發與代理資安軟硬體產品,並且提供專業資安服務給客戶,以降低客戶所承受的安全威脅風險。若欲瞭解更多相關資訊,歡迎瀏覽吉瑞科技公司網頁 http://www.g-ray.com.tw。
參考資料:
吉瑞科技 http://www.g-ray.com.tw
以下 VirusTotal 檢測結果:
檔案 like.com 接收於 2009.02.12 10:52:38 (CET)
結果: 23/39 (58.97%)
反病毒引擎 版本 最後更新 掃瞄結果
a-squared 4.0.0.93 2009.02.12 Backdoor.Win32.HacDef.073.B!IK
AhnLab-V3 5.0.0.2 2009.02.12 -
AntiVir 7.9.0.76 2009.02.12 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.02.12 -
Avast 4.8.1335.0 2009.02.11 -
AVG 8.0.0.229 2009.02.11 Win32/Patched.AI
BitDefender 7.2 2009.02.12 Trojan.Crypt.Delf.AF
CAT-QuickHeal 10.00 2009.02.11 -
ClamAV 0.94.1 2009.02.12 -
Comodo 974 2009.02.11 -
DrWeb 4.44.0.09170 2009.02.12 -
eSafe 7.0.17.0 2009.02.11 Win32.TRCrypt.XPACK
eTrust-Vet 31.6.6353 2009.02.12 -
F-Prot 4.4.4.56 2009.02.11 -
F-Secure 8.0.14470.0 2009.02.12 Trojan-GameThief.Win32.OnLineGames.uqkw
Fortinet 3.117.0.0 2009.02.12 PossibleThreat
GData 19 2009.02.12 Trojan.Crypt.Delf.AF
Ikarus T3.1.1.45.0 2009.02.12 Backdoor.Win32.HacDef.073.B
K7AntiVirus 7.10.627 2009.02.11 -
Kaspersky 7.0.0.125 2009.02.12 Trojan-GameThief.Win32.OnLineGames.uqkw
McAfee 5523 2009.02.11 New Malware.bx
McAfee+Artemis 5523 2009.02.11 New Malware.bx
Microsoft 1.4306 2009.02.12 Trojan:Win32/Helpud.AB
NOD32 3847 2009.02.12 a variant of Win32/PSW.OnLineGames.NFF
Norman 6.00.02 2009.02.11 -
nProtect 2009.1.8.0 2009.02.12 Trojan.Crypt.Delf.AF
Panda 10.0.0.10 2009.02.11 Generic Trojan
PCTools 4.4.2.0 2009.02.11 -
Prevx1 V2 2009.02.12 -
Rising 21.16.32.00 2009.02.12 -
SecureWeb-Gateway 6.7.6 2009.02.12 Trojan.Crypt.XPACK.Gen
Sophos 4.38.0 2009.02.12 Mal/EncPk-CK
Sunbelt 3.2.1851.2 2009.02.12 Trojan.Win32.OnlineGames.gen
Symantec 10 2009.02.12 Infostealer.Gampass
TheHacker 6.3.1.9.254 2009.02.12 Trojan/OnLineGames.uqkw
TrendMicro 8.700.0.1004 2009.02.12 TROJ_HELPUD.HM
VBA32 3.12.8.12 2009.02.11 BScope.Dropper.Gen.4
ViRobot 2009.2.12.1603 2009.02.12 -
VirusBuster 4.5.11.0 2009.02.11 -
附加訊息
File size: 195648 bytes
MD5…: 5aa55f265b0e4ca1c67fa171fad7eb3a
SHA1..: 9b2314cd941e383dd33e01f1b417f2f2e6891b0e
SHA256: f5d057ffb498c56cca53d75bb534557dfe51de2c30f3e90ad827d107c8c8f816
SHA512: 93d564077e82ed5b44f98e1693525661455e8ef885960bc8be7d58d1968f147a
03561ad0b59466a00064745824e6496aebc5772a7630bcc6f41ae8b6184d0ae1
ssdeep: 3072:/NY3lHmFDbumHQViht2Hhqlz72U29OgxY7OhsEJKZmIAWarGNysmuwcqwWQ
A:/NQ8reqWq7zH7xE89VoGNyuqw5A
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0×5e591
timedatestamp…..: 0×2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype…….: 0×14c (I386)
( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
___ 0×1000 0×5000 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
4_53 0×6000 0×104 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
___@ 0×7000 0×6ed 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
_8_8 0×8000 0×730 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
_0__ 0×9000 0×8 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
____ 0xa000 0×18 0×200 0.20 7cd66032ccbad0330bf6fdf8d151d54c
4@_1 0xb000 0×57c 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
0_ 8 0xc000 0×22000 0×200 1.39 2ebe706d668e76893199bb481b293235
__._ 0×2e000 0×4b38 0×0 0.00 d41d8cd98f00b204e9800998ecf8427e
6___ 0×33000 0×2ed1b 0×2ee00 7.86 2772ae1b2a5737216c24b2ec1385527b
_3__ 0×62000 0×88 0×200 1.63 c0a61508d8aa974a113d3967afdd43c2
( 5 imports )
kernel32.dll: DeleteCriticalSection
user32.dll: GetKeyboardType
advapi32.dll: RegQueryValueExA
kernel32.dll: GetModuleHandleA, GetProcAddress, VirtualProtect
user32.dll: MessageBoxA
以下是ThreatExpert檢測結果:
http://www.threatexpert.com/report.aspx?md5=5aa55f265b0e4ca1c67fa171fad7eb3a
能陪你過一輩子的人?是我還是另有某人呢?
這樣的MAIL標題不夠吸引人
我想很難上當吧...
如果可以改
哈尼,要不要看我性感的自拍照...
這樣或許開的人會比較多吧...
不過還是感謝R大大的分享...