V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xyu_ovi
V2EX  ›  问与答

Document2 病毒附件 求助

  •  
  •   xyu_ovi · 2016-03-26 18:58:40 +08:00 · 3019 次点击
    这是一个创建于 3196 天前的主题,其中的信息可能已经有所发展或是发生改变。

    情况: Gmail apps 账户 桌面只在 Ubuntu 下登录 手机端使用 android cloudmagic 客户端 授权 cloudgmgic gmail 权限 chrome 完整权限 手机有 root 但是一直完全禁用 su 权限。

    症状: 发件人 收件人都是我的账户 账户有两个别名都被用作发病毒 邮件在 sent mail 列表里面 也就是说邮件是通过登录以后发送的并不是伪造发件人

    其他说明: 几天前收到这个的时候没太在意 以为是被伪造了发件人 出于好奇把附件下载下来了解压以后是个 JS 脚本 因为知道很可能是病毒 所以并没有执行过。几天期使用杀毒软件扫描了这个文件 没有报毒 Gmail 服务器也没有提示是病毒 附件可以被下载 这两天有连续收到多次这个邮件 今天登录了网页端 发现 Gmail 服务器报了病毒了。而且这个邮件出现在我的 sent mail 列表里面

    所以我觉得很有可能是我的手机 或者 电脑中招了。但是不知道问题出在哪儿 有没有人遇到同样情况?

    29 条回复    2016-03-27 18:58:43 +08:00
    qq316107934
        1
    qq316107934  
       2016-03-26 19:07:34 +08:00
    把 js 发出来被
    lavasing
        2
    lavasing  
       2016-03-26 19:13:51 +08:00 via Android
    我的 inbox.com 的邮箱也收到了名为 Document 2.zip 的文件
    在 qq 邮箱上提示有毒,解压出来是个 js 文件
    代码在 http://pastebin.com/RsP2iuyb
    lavasing
        3
    lavasing  
       2016-03-26 19:17:15 +08:00 via Android
    @qq316107934 见二楼
    xyu_ovi
        5
    xyu_ovi  
    OP
       2016-03-26 19:23:49 +08:00
    @lavasing 其实问题是邮件是从我的账户发出去的。 并不是伪造发件人 所以我才担心的
    qq316107934
        6
    qq316107934  
       2016-03-26 19:35:50 +08:00
    @xyu_ovi js 混淆了,一会儿回寝室开电脑看下,看到倒数第二行貌似下载了一个 exe 文件来执行啊。
    VmuTargh
        7
    VmuTargh  
       2016-03-26 19:37:29 +08:00
    @lavasing 试试发我 yandex: [email protected]
    lavasing
        8
    lavasing  
       2016-03-26 20:02:21 +08:00 via Android
    @VmuTargh 不方便发呀。。。
    发的时候直接 virus message discarded 了。
    xd547
        9
    xd547  
       2016-03-26 20:08:49 +08:00
    我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。
    qq316107934
        10
    qq316107934  
       2016-03-26 20:13:17 +08:00
    是个 Downloader ,楼主最终应该是中了 exe 病毒了。
    xd547
        11
    xd547  
       2016-03-26 20:27:27 +08:00
    我这边用的是 google 的域名邮箱 sent mail 里面没有发件记录。
    xd547
        12
    xd547  
       2016-03-26 20:29:11 +08:00
    收件的邮箱地址是 xx[at]我的域名。不是 rainysummer[at]我的域名。只有一个用户,设置了代收。
    xd547
        13
    xd547  
       2016-03-26 20:30:55 +08:00
    我这边还开启了两步验证。
    messyidea
        14
    messyidea  
       2016-03-26 20:32:50 +08:00
    加密压缩应该查不出来病毒吧。
    xd547
        15
    xd547  
       2016-03-26 20:33:36 +08:00
    “您尚未授予任何应用或网站访问您的 Google 帐户。”
    messyidea
        16
    messyidea  
       2016-03-26 20:35:02 +08:00
    不好意思,我貌似理解错了 (
    qq316107934
        17
    qq316107934  
       2016-03-26 20:35:34 +08:00
    @xyu_ovi lrAXrUK 为 ActiveXObject 对象,之后病毒分别调用了 WScript.Shell,MSXML2.XMLHTTP 和 ADODB.Stream 来下载和保存,执行病毒。
    xd547
        18
    xd547  
       2016-03-26 20:43:51 +08:00
    看了下邮件头
    Received: from HP ([113.188.178.237])
    by mx.google.com with ESMTP id iz10si3874325obb.24.2016.03.24.08.58.13
    for <[my mail address]>;
    xd547
        19
    xd547  
       2016-03-26 20:45:34 +08:00
    我这边看的结果应该是伪造发件人。并未打开 js 执行过。
    qq316107934
        20
    qq316107934  
       2016-03-26 20:51:56 +08:00
    @qq316107934 病毒下载的文件是 http://palahasit.com/system/logs/98h7b66gb.exe 但很明显现在已经被其他人(或者作者?)和谐了,无法进行进一步分析。
    qq316107934
        21
    qq316107934  
       2016-03-26 20:54:21 +08:00
    @xyu_ovi 看 EXE 里的留言,应该是一个加密勒索型病毒,楼主保重啊!
    xyu_ovi
        22
    xyu_ovi  
    OP
       2016-03-26 21:06:36 +08:00
    @qq316107934 并没有执行 JS 文件
    evilangel
        23
    evilangel  
       2016-03-27 13:19:48 +08:00
    我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。认为是伪造发件人发送的直接就给删了,现在楼主说不是伪造的就奇怪了。一直用的 Mac 也没乱装东西,手机 iOS 也没越狱,如果不是伪造的发件人又是哪来的呢。
    Slienc7
        24
    Slienc7  
       2016-03-27 14:12:41 +08:00
    方便的话发一个完整邮件原始文件看看。
    Slienc7
        25
    Slienc7  
       2016-03-27 14:15:57 +08:00
    @evilangel @lavasing @xyu_ovi @xd547
    近期是否新增 Chrome 扩展等?
    lavasing
        26
    lavasing  
       2016-03-27 14:42:44 +08:00 via Android
    @xgowex 近期没有下载什么扩展
    我的邮件里就一个附件,没有正文。代码在二楼
    xd547
        27
    xd547  
       2016-03-27 15:08:52 +08:00 via iPhone
    @xgowex 是要查下扩展
    evilangel
        28
    evilangel  
       2016-03-27 17:20:56 +08:00
    @xgowex 最近没有装什么扩展。。
    xd547
        29
    xd547  
       2016-03-27 18:58:43 +08:00
    @xgowex 刚刚查了下,没有什么特别的扩展,都是开发相关的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3038 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:27 · PVG 22:27 · LAX 06:27 · JFK 09:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.