“灰鸽子”罪恶勾当转入地下，假冒社区管理员玩儿DM邮件直投

今天上班就收到51CTO一位朋友的邮件，说有病毒假冒天通苑社区管理员的名义传播，业主们本来希望通过这件事把放木马的人找到的，结果却被一家杀毒厂商当作新闻抢先发出来了。（严重BS该厂商只顾自己痛快，不管社会责任的行为，在该厂商发布的新闻中还说自己可以轻松搞定这个病毒，结果是根本查不到，又一次忽悠了用户，再次严重BS该厂商）

病毒邮件原文如下：

亲爱的天通苑业主您好：
非常感谢您一直以来对天通苑论坛的支持和厚爱，使我们的论坛更加快速的发展和壮大。在2007年新春之际，天通苑为了感谢您的支持，特别整理了自开坛以来，所有会员的联络资料，并形成了一份表格，这份表格可以方便会员之间的交友查询，业主邻里之间的亲密联络....。另，表格里面都是平时论坛里可以公开的会员资料，并没有涉及关于业主及会员的隐私的信息。见附件（天通苑2007业主联络表 ）。
祝全体业主和会员：全家幸福！万事如意！
  
                                    
                                            
                         天通苑论坛管理员
                             20070412  

欢迎访问天通苑，网址： [url]http://www.tty.com.cn/bbs/[/url]

邮件内含附件:天通苑2007业主联络表.rar(438.49K)

和这个朋友多次邮件沟通，拿到这只灰鸽子样本文件。解压天通苑2007业主联络表.rar到桌面，以我的经验，一眼就知道是鸽子。立即把这个样本发给了珠海开发灰鸽子通杀的兄弟。
 

试了下毒霸扫描，没有报告。再用dubatools_huigezi.com 加路径的方式检测这个木马，也没有报告。最后试一下执行后，会不会被毒霸的数据流查到。执行木马，用毒霸查内存，没有报告。看来这个样本已经做好了针对毒霸的免杀。这也是我最近拿到的唯一一只能过毒霸主程序、数据流和毒霸灰鸽子专杀的免杀版灰鸽子。由此证明，灰鸽子们不是关张了，而是继续在地下干着罪恶的勾当。

执行这个木马后，立即打开两个窗口：IE和WORD
注意看：IE打开《家住天通苑》业主论坛，地址却是本地的，根本没有访问真正的天通苑论坛，注意看清楚的应该知道是上当了。

WORD打开的是一个有乱码的文档，不注意看的，还以为文档损坏了。然后也不会注意到自己已经成为肉鸡，看来这骗子是煞废苦心，精心设计了一个局。

再试一下这个样本是否真如**公司的新闻上说的，可以轻松搞定。在天通苑社区论坛上，已经有该论坛版主“听话的小猪”说这个样本卡巴查不到。我就试下另几家的吧。

瑞星2007，升级到今天的病毒库，查不到
病毒库：2007.4.13

查毒结果

江民

写到这儿，珠海兄弟已经完成了通杀方案的更新，升级了下毒霸，已经可以查到再查那个g_windows.exe文件了。

那个假冒DOC文档的病毒本身是捆绑的，直接查仍查不到，研发兄弟已经在提这个捆绑文件的特征，晚上升级就可以查了。
最后，试一下灰鸽子官方卸载工具有没有用，结果大家就看图吧。