Re: [情報] 不要打開"ayment Declined PIN-XX"的信件
OK,趁著在學校沒事
而且電腦有裝還原卡可以隨便搞
就抱一台過來試試了
(電腦教室我在管,所以不會造成他人困擾)
環境是Win7旗艦x64
檔案因為原原PO提供的連結被刪了
所以我使用的是朋友另外傳的
病毒載點(MEGA),下載後請慎用
hxxp://goo.gl/lljVZd
首先下載解壓縮後會看到兩個JS檔
這兩個JS檔案內容不一樣,但結果是一樣的
一開始先斷網執行JS檔
http://i.imgur.com/Cb2d40n.jpg
會跳錯誤,Google了下是說沒接網路
那就大膽一點接網路執行吧
http://i.imgur.com/1KjGz8Z.jpg
居然說不相容,看來沒得看怎麼發作的了
不過既然有路徑,就來看看到底長怎麼樣
http://i.imgur.com/0iJq16F.jpg
原來是會自動下載一個亂碼的exe檔
不過可惜沒辦法執行....
既然是從網路抓來執行的
那就用Wireshark看一下連到哪裡好了
http://i.imgur.com/DIwQHlQ.jpg
是連到一個網站
兩個JS都是連到這個網址
hxxp://hkhc -shop.lms .hk/system/l ogs/87yg7g
http://i.imgur.com/jhDmVxj.jpg
不過直接用瀏覽器開卻是404
http://i.imgur.com/2vsq5O2.jpg
先這樣吧,有空再去弄其他電腦看能不能執行
記得之前信箱也收到一堆類似的,不過可惜被系統砍掉了...
有機會再收到再做測試
另外我發現微軟牌的MSE可以有效偵測這個病毒
這是先載好未解壓縮改附檔名為.zipx後裝MSE讓它掃
http://i.imgur.com/hH8QKtp.jpg
然後又再從MEGA抓了一次
Chrome還沒載好就先被MSE砍掉了
http://i.imgur.com/kEcCaUK.jpg
結論是微軟的MSE防得了這個病毒!!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.215.234
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1458281297.A.601.html
※ 編輯: ids93216 (125.227.215.234), 03/18/2016 14:09:21
推
03/18 14:34, , 1F
03/18 14:34, 1F
→
03/18 16:00, , 2F
03/18 16:00, 2F
→
03/18 16:54, , 3F
03/18 16:54, 3F
→
03/18 17:07, , 4F
03/18 17:07, 4F
→
03/18 17:07, , 5F
03/18 17:07, 5F
推
03/20 14:46, , 6F
03/20 14:46, 6F
推
03/20 15:58, , 7F
03/20 15:58, 7F
推
03/20 16:36, , 8F
03/20 16:36, 8F
→
03/20 16:38, , 9F
03/20 16:38, 9F
→
03/23 09:10, , 10F
03/23 09:10, 10F
→
03/23 09:10, , 11F
03/23 09:10, 11F
→
03/23 09:10, , 12F
03/23 09:10, 12F
→
03/23 09:10, , 13F
03/23 09:10, 13F
→
03/23 09:11, , 14F
03/23 09:11, 14F
討論串 (同標題文章)
完整討論串 (本文為第 3 之 3 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章