Facebook病毒 - YouNaked.JPG.exe

今天在使用Facebook的時候看見了朋友的動態留言上有不尋常的連結,好齊心驅使下我就觀察看看有什麼行為。

首先它的連結是一串縮址,點擊之後它會到向另一個頁面,並且自動下載一個檔案,但這只是下載而已,要去執行它病毒才會有作用。

下載下來的檔名是 YouNaked.JPG.exe,檔案大小 160KB,初步用 Avira Free Antivirus 去掃描並沒有結果,接下來用whois去查詢IP發現來自於土耳其。

inetnum:        185.4.227.0 - 185.4.227.255
netname:        SAYFANET
descr:          Istanbul DC Customer
country:        TR
admin-c:        KSM20-RIPE
tech-c:         KSM20-RIPE
status:         ASSIGNED PA
mnt-by:         ER101-MNT
source:         RIPE # Filtered

person:         Kiralik Sunucu Musterisi
address:        Sayfa.NET Datacenter
address:        Metrocity AVM Levent Istanbul
address:        detayli musteri bilgisi ogrenmek icin email gonderiniz
address:        please email us for customer details
address:        TURKEY
phone:          +905327235263
fax-no:         +905327235263
nic-hdl:        KSM20-RIPE
mnt-by:         ISTANBULDC-MNT
abuse-mailbox:  registry@istanbuldc.com
source:         RIPE # Filtered

接著觀察到它的副檔名,在一般的使用上 Windows 會隱藏副檔名,這時候使用者看見的就是 YouNaked.JPG,它會誘使你認為它是一張圖片,另外加上他的檔名讓你充滿好奇心,然後就點中招。

行為

接下來做個簡單的行為分析,當程式執行後YouNaked.JPG.exe會自我刪除,然後就會在你朋友的動態訊息以及聊天室中留下同樣的訊息,到這邊還沒結束。

在剛剛的過程中它會在你的登錄檔中新增一條紀錄,接下來啟動msconfig,在中你會看見其中一條預設啟動名為 MSConfig 而啟動的路徑是C:\Users\\{YourName}\ksum.exe,是這是一個隱藏檔,這意味著只要你重新開機它就會自動執行。

試著去刪除它會發現它又自動再生了,不管次都是一樣。所以這時後去觀察資源監視器中的磁碟,會發現有個影像在操作 ksum.exe 但是名稱都會不同,我有見過explorer.exe以及SearchProtocolHost.exe這2個程式,接著我去看這兩隻程式並沒有發現異常,所以它有可能可以偽裝為別的程式。

清除

最後如何清理病毒,首先重新開機按 F8 進入安全模式,然後開啟 regedit 搜尋並刪除 MSConfig 的登錄檔紀錄,然後刪除使用者目錄C:\Users\\{YourName}\底下的 ksum.exe,接著重新開機就好了。

About
ScarWu

刀疤

記錄學習過程、生活以及一些想說的話。