“灰鸽子”罪恶勾当转入地下,假冒社区管理员玩儿DM邮件直投

今天上班就收到51CTO一位朋友的邮件,说有病毒假冒天通苑社区管理员的名义传播,业主们本来希望通过这件事把放木马的人找到的,结果却被一家杀毒厂商当作新闻抢先发出来了。(严重BS该厂商只顾自己痛快,不管社会责任的行为,在该厂商发布的新闻中还说自己可以轻松搞定这个病毒,结果是根本查不到,又一次忽悠了用户,再次严重BS该厂商)

病毒邮件原文如下:
亲爱的天通苑业主您好:
非常感谢您一直以来对天通苑论坛的支持和厚爱,使我们的论坛更加快速的发展和壮大。在2007年新春之际,天通苑为了感谢您的支持,特别整理了自开坛以来,所有会员的联络资料,并形成了一份表格,这份表格可以方便会员之间的交友查询,业主邻里之间的亲密联络....。另,表格里面都是平时论坛里可以公开的会员资料,并没有涉及关于业主及会员的隐私的信息。见附件(天通苑2007业主联络表
)。
祝全体业主和会员:全家幸福!万事如意!
  
                                    
                                            
                         天通苑论坛管理员
                             20070412  
欢迎访问天通苑,网址: [url]http://www.tty.com.cn/bbs/[/url]
邮件内含附件:天通苑2007业主联络表.rar(438.49K)


和这个朋友多次邮件沟通,拿到这只灰鸽子样本文件。解压天通苑2007业主联络表.rar到桌面,以我的经验,一眼就知道是鸽子。立即把这个样本发给了珠海开发灰鸽子通杀的兄弟。
 
试了下毒霸扫描,没有报告。再用dubatools_huigezi.com 加路径的方式检测这个木马,也没有报告。最后试一下执行后,会不会被毒霸的数据流查到。执行木马,用毒霸查内存,没有报告。看来这个样本已经做好了针对毒霸的免杀。这也是我最近拿到的唯一一只能过毒霸主程序、数据流和毒霸灰鸽子专杀的免杀版灰鸽子。由此证明,灰鸽子们不是关张了,而是继续在地下干着罪恶的勾当。

执行这个木马后,立即打开两个窗口:IE和WORD
注意看:IE打开《家住天通苑》业主论坛,地址却是本地的,根本没有访问真正的天通苑论坛,注意看清楚的应该知道是上当了。

WORD打开的是一个有乱码的文档,不注意看的,还以为文档损坏了。然后也不会注意到自己已经成为肉鸡,看来这骗子是煞废苦心,精心设计了一个局。

再试一下这个样本是否真如**公司的新闻上说的,可以轻松搞定。在天通苑社区论坛上,已经有该论坛版主“听话的小猪”说这个样本卡巴查不到。我就试下另几家的吧。

瑞星2007,升级到今天的病毒库,查不到
病毒库:2007.4.13

查毒结果

江民

写到这儿,珠海兄弟已经完成了通杀方案的更新,升级了下毒霸,已经可以查到再查那个g_windows.exe文件了。

那个假冒DOC文档的病毒本身是捆绑的,直接查仍查不到,研发兄弟已经在提这个捆绑文件的特征,晚上升级就可以查了。
最后,试一下灰鸽子官方卸载工具有没有用,结果大家就看图吧。

你可能感兴趣的:(职场,休闲,灰鸽子,天通苑,病毒样本)