星期二, 9月 11, 2007

MSN Messenger 的傳送網址病毒蔓延到 Skpye?

今天早上,在電腦畫面上,發現了昨天半夜我在台灣的朋友的 skype 帳號,送來了一段訊息和一個網址:

網址其實本身就蠻可疑的了,"fakme.org"? 不過我還是試著用 firefox 開啟那個網頁。沒想到 firefox 的下載管理員自動開啟,問我要不要下載一個 "dsc027.scr" 的檔案。這一看就知道,和前一陣子非常盛行的 MSN Messenger 上的自動傳送病毒程式 URL 的木馬程式是同一個手法。

為了檢查是否真的是病毒,使用 wget 把檔案抓一分下來:

$ wget http://www.fakme.org/erotic-gallerys/usr5d8c/dsc027.jpg
--15:16:48-- http://www.fakme.org/erotic-gallerys/usr5d8c/dsc027.jpg
=> `dsc027.jpg'
正在查找主機 www.fakme.org... 84.32.130.83
正在連接 www.fakme.org|84.32.130.83|:80... 連上了。
已送出 HTTP 要求,正在等候回應... 302 Found
位置:http://given-up.kdcentrs.net/contribacija/dsc027.scr [跟隨連結]
--15:16:49-- http://given-up.kdcentrs.net/contribacija/dsc027.scr
=> `dsc027.scr'
正在查找主機 given-up.kdcentrs.net... 80.81.53.20
正在連接 given-up.kdcentrs.net|80.81.53.20|:80... 連上了。
已送出 HTTP 要求,正在等候回應... 200 OK
長度: 188,416 (184K) [text/plain]

100%[====================================>] 188,416 69.80K/s

15:16:52 (69.63 KB/s) -- 已儲存 ‘dsc027.scr’ [188416/188416])


然後用 Ubuntu 上的 clamscan 掃瞄:

$ clamscan dsc027.scr
dsc027.scr: OK

----------- SCAN SUMMARY -----------
Known viruses: 151997
Engine version: 0.90.2
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.18 MB
Time: 320.724 sec (5 m 20 s)

出乎意料的,clamav 的病毒資料庫裏面沒有包含這一個病毒的資料,所以 clamscan 顯示檔案沒問題。至於 clamscan 掃瞄一個檔案竟然花了 5 分多鐘,這是個到目前為止我都還沒找到確實原因的問題。不過那是題外話了。

然而,使用 Google 以 skype 和 dsc027.scr 當關鍵字搜尋一下,還是可以找到一些資料。其中在 skype forum 上的這篇文章,有解釋怎樣移除:



Windows 上各式各樣的病毒一大堆,這早已不是什麼新聞。不過很多時候中毒或者中木馬,往往是使用者的不小心所導致的,並不完全可以怪罪於作業系統本身。良好的使用習慣,以及隨時提高警覺,才是避免中毒和被入侵的最基本手段。

沒有留言: