|
|
主题: 病毒
|
哈哈品
职务:普通成员
等级:6
金币:18.0
发贴:4349
|
#12003/4/14 17:20:42
This is a very humour game
This game is my first work.
You're the first player.
I wish you would enjoy it.
最近老是从同事处收到这样的邮件,好象是老病毒了吧,但用诺顿查不出来,还在继续发!
|
janlay
职务:管理员
等级:7
金币:28.0
发贴:7244
|
#22003/4/14 18:20:56
看看邮件原始信息(全部),如果包含附件格式定义为: Content-Type: audio/x-wav ,则一般含有恶意代码。 因为IE解释网页代码的原因,碰到音频会自动把它打开并播放。如果把一个.exe或.vbs文件在邮件中描述为x-wav,则在用html方式打开邮件时,附件程序会被IE认为是音频而打开运行。这就是恶意附件程序自动运行的原理 
|
{ 在指尖上绽放的花朵 }
职务:普通成员
等级:5
金币:14.0
发贴:3209
|
#32003/4/14 21:33:01
涂料前辈…… 真是厉害……
|
哈哈品
职务:普通成员
等级:6
金币:18.0
发贴:4349
|
#42003/4/15 9:29:26
X-ScanVirusResult: 附件曾含有病毒Trojan.IframeExec,结果: 已清除!
附件Qk.bat曾含有病毒Worm.wantjob.81936,结果: 已清除!
X-VirusScanner: CoreMail Version 2.0 Copyright (c) 2000 Tebie Limited
X-VirusScanEngine: kingsoft
--GN0bKR2M0B8ik011w0
Content-Type: Text/Plain;
name="262241266276320305317242"
Content-Transfer-Encoding: 8bit
Content-Disposition:
附件曾含有病毒Trojan.IframeExec,结果: 已清除!
附件Qk.bat曾含有病毒Worm.wantjob.81936,结果: 已清除!
--GN0bKR2M0B8ik011w0
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
--GN0bKR2M0B8ik011w0
Content-Type: audio/x-midi;
name=Qk.bat
Content-Transfer-Encoding: base64
Content-ID:
--GN0bKR2M0B8ik011w0
--GN0bKR2M0B8ik011w0
Content-Type: application/octet-stream;
name=gg1[1].html
Content-Transfer-Encoding: base64
Content-ID:
DQo8Ym9keSBsZWZ0bWFyZ2luPSIwIiB0b3BtYXJnaW49IjAiPg0KPGEgaHJlZj0iaHR0cDov
L2FkLmNuLmRvdWJsZWNsaWNrLm5ldC9jbGs7NTQ1MzEyMTs4MDEwNjEwO28/aHR0cDovL2Fk
LmNuLmRvdWJsZWNsaWNrLm5ldC9jbGs7NTQ0NzA1Mjs4MDA4MTMyO2E/aHR0cDovL3BhcnRu
ZXIuZWFjaG5ldC5jb20vZnUvY28vcmQucGhwP2h0dHA6Ly93d3cuZWFjaG5ldC5jb20vY29v
cGVyYXRlLmh0bSIgdGFyZ2V0PSJfYmxhbmsiPjxpbWcgc3JjPSI0Njg2MF8xeXVhbi5HSUYi
IHdpZHRoPSI0NjgiIGhlaWdodD0iNjAiIG
|
janlay
职务:管理员
等级:7
金币:28.0
发贴:7244
|
#52003/4/15 10:04:43
第一个附件利用了IE浏览器的iframe漏洞,这个漏洞允许指定iframe源为本地系统上的可执行文件,从而使制作者达到在本地执行任意指令的功能。这是一个很危险的漏洞,升级windows update可以堵住它。详见 microsoft 相关 kb 中的描述。
第二个附件定义为 audio/x-midi ,来者不善,它企图让IE认为Qk.bat文件是一个midi文件并运行它。
第三个文件是 html 脚本,它是运行前两个破坏性代码的“引擎”——没有HTML环境,邮件本身会很安全。
|
哈哈品
职务:普通成员
等级:6
金币:18.0
发贴:4349
|
#62003/4/15 10:12:27
我用的是网易的VIP信箱,它用的是金山的防毒,自动查杀了~~
但在发出该邮件的机子上怎么也查不出来~~甚至根据提示下载了专杀求职信的补丁也没用~~
|
janlay
职务:管理员
等级:7
金币:28.0
发贴:7244
|
#72003/4/15 10:21:38
邮件是你给自己发的?没查出来也不奇怪,杀毒软件能杀掉所有已知病毒(这只在广告中才有可能)是不太可能的,毕竟是计算机程序是判断 另外,所谓的专杀补丁一般都只能杀静态文件,并不具备防火墙的特性——在系统底层上拦截并杀除病毒
|
哈哈品
职务:普通成员
等级:6
金币:18.0
发贴:4349
|
#82003/4/15 10:50:58
同事的机子发给我,我也有发给他,烦~~
|
