先看這段對話 (是用yahoo談的)
Scott_Wu: 在媽?
琮: 嗯嗯
琮: 怎麼了
Scott_Wu: 妳msn沒開對吧
琮: 有開阿
Scott_Wu: 那你用msn密我一下
琮: 你是這個嗎 [email protected]
Scott_Wu: 嗯
琮: 不能密耶
Scott_Wu: 琮 說:
is this you?? http://myspace-photos.info/[email protected]
Scott_Wu: 別點!
琮: ...........
Scott_Wu: 妳是第2個了
Scott_Wu: 皓子 說:
is this you http://myspace-photos.info/[email protected]
Scott_Wu: 相隔1分鐘
Scott_Wu: 兩個人
msn那邊
另一位
那個 [email protected] 是我的msn 竟然在網址裡
我很訝異 他msn不下線 竟然也可以被控制用來發訊息!
下載後
一個很鳥的圖示 我是用XNview看圖的 這是win9x時代的jpg圖示...
有加殼 但是卻輕易被winrar解開 裡面有一個叫 reptile.exe 的檔案
上傳去掃瞄 只有幾家偵測出來....
a-squared 4.5.0.3 20090815010138 2009-08-15 Trojan.Win32.Buzus!IK
F-Secure 7.02.73807 2009.08.15.02 2009-08-15 Trojan.Win32.Buzus.bubd [AVP]
GData 19.7148/19.439 20090815 2009-08-15 Trojan.Win32.Buzus.bubd [Engine:A]
Ikarus T3.1.01.64 2009.08.15.73243 2009-08-15 Trojan.Win32.Buzus
Kaspersky 5.5.10 2009.08.15 2009-08-15 Trojan.Win32.Buzus.bubd
Microsoft 1.4903 2009.08.14 2009-08-14 VirTool:Win32/CeeInject.gen!AA
我的ESET Smart Security可是以點反應都沒有.....
上網查了一下
好像是麥可傑克森病毒..
http://digitaltalker.blogspot.com/2009/07/mj.html 這裡有寫
我用OLLYDBG 分析他
程式碼如下(組合語言)
附加壓縮檔: 200908/mobile01-b1bbe1213fb96993d86ec155877c6990.zip
另外 我附上那網址的原始檔案(謹慎服用)
附加壓縮檔: 200908/mobile01-fcfefa8999b725c1516c6e1cff510eb7.zip
用rar可以輕易解開
