發現病毒兩枚

接獲兩封可疑電子郵件通報。

第一封信件(2/4)標題為"我被騙了..."，內文如下:

我被騙了...昨天被騙了1000元..心情真的是很幹!!騎車回家..都在狂哭...很氣自己氣自己怎會熊熊就借錢給對方..什麼都沒留就借...心情超糟的...還好我還有拍下她的相片...>"

附件為"騙子相片.zip"，內含256,523 bytes的"騙子相片.cmd"檔案

第二封信(2/5)標題為"新年好"，內文如下:

新年到了給你準備了一份禮物希望你笑口常開
Edger

附件為"新年禮物"，內含270,404 bytes的"新年禮物.cmd"檔案

很巧二者手法相似，都用ZIP包了CMD檔，是病毒的成份居多。第一封說要給相片，裡面附的卻是CMD，病毒作者顯然不夠用心；第二封信有點意思，因為署名Edger真的是寄信者的英文名字，收信人在第一時間還真以為是本人發出的，差點中計。它不知用什麼技巧取得發信者署名，讓我有點好奇，二封信都來自@yahoo.com.tw，也都有Yahoo免費信箱強制加上的"Yahoo!奇摩迷你筆，英文單字一點就翻"廣告，看來不像是透過Outlook管道取得收信人清單及寄發，我懷疑是竊取或騙取Yahoo信箱密碼後發動的攻擊。

Google了一下，"騙子相片"病毒在去年12月下旬就有傳出風聲(信件用字完全相同，因此確認手上這件為毒)，至於"新年禮物"則查無所獲。但我安裝的AVG Anti-Virus倒檢測出"新年禮物.cmd"中包含了KLONE.H這個後門程式。由以上線索，確認二者應是病毒無誤，殺!!!

【提醒】郵件附檔ZIP裡內含.exe, .com, .cmd, .pif, .scr，是病毒的機率很高，如果不執行不會少塊肉，就別開啟吧!