讲一讲今天中病毒的经历

2015-12-21 09:58:21 +08:00
 xcjzv
楼主上一次中病毒还是初中的事情,十多年了,头一回。

今天国土安全 s05 大结局,就 google 了下,找到了磁力,(文件名是 Homeland S05E12 WEB-DL x264-FUM rcs.mp4 ),放到迅雷离线下载上,秒完成。打开虚拟机, IDM 开启下载。一如既往得熟练。 idm 下载完,弹出完成对话框。直接打开。

咦。 Windows Media 怎么没出来?五秒钟后,右下角 windows defender 弹出来, Virus Detected ! Homeland S05E12 WEB-DL x264-FUM .exe 发现病毒!!!

楼主哪个病毒没见过?身经百战!

但这次惊得从凳子上要蹦起来了!楼主下载的是 mp4 啊, windows media 有弹窗再网页挂马我也认了!楼主下载的是尼玛的 mp4 啊,怎么蹦出来的 exe ?!

楼主从小到大,无论哪个圈子里,都是驾驭电脑的好手,身边人眼里的标准技术宅( wang guan )。虽说不是搞计算机的科班出身,但平日折腾 vps 搭建个 strongswan ocserv 不在话下,仗着自己 mac 都是正版软件, windows 又是在虚拟机里又买了 sandboxie ,各种肆意裸奔(钟情 comodo 很多年,无奈这货在 win10 下和 sandboxie 冲突了,两相取舍当然是 sandboxie )

======拉回来 讲正事====

楼主吃惊了 20 秒,还是觉得不对,还是疑惑,尼玛明明下载的是 mp4 ;再梳理下前面说的那个过程中的疑点,磁力确实是在那种乱七八糟的 bt 聚合网站找的,疑点二是迅雷离线下载网页上这文件也不是播放视频的图标,而是一个迅雷无法识别的图标。

再去研究研究这个文件!奇怪, idm 下载完成列表里这货图标是 exe ,可文件名明明是.mp4 结尾;


再吐槽下微软,文件夹下这货还真的是播放图标!!!!!!配上.mp4 尾缀!!!是不是无懈可击!!!!


好吧,还是有懈可击的。我习惯性去选中他文件名,奇怪,无论在 idm 里还是在文件夹里,最后 rcs.mp4 这部分里 rcs.这几个字就是选不中!!!这尼玛是什么问题?
复制文件名过来就是 Homeland S05E12 WEB-DL x264-FUM ‮ 4pm
你们可以试一下,选这段话,最右边 mp4 就是选不中!!
再换一种选取方式, Homeland S05E12 WEB-DL x264-FUM ‮ 4pm.scr
rcs.mp4 依然选不中!

你们选中仔细看, rcs 前面会有一个光标,mp4后面还有一个光标。楼主终于确定这个把戏的核心就是这个光标了!这尼玛什么特殊符号???

====以下很乱,可跳跃看结论===

做个试验:“哈哈 12345 ”,中间两个哈哈之间插入这个文件名, FUM 前面省略哈,变成了 哈 FUM ‮ 4pm.scr 哈 12345

是不是凌乱了? 哈+光标前面部门+(“哈 12345 ” 倒过来)+ rcs.mp4 ,楼主可是在哈哈两个字中间插入的!

再试验下 12345 后面复制上去,成了 12345.4pm.scr

===结论===

所以这个把戏就是,通过特殊符号的障眼法,调换了实际文件名持续,让我们看到虽然是 mp4 在最后面,但是实际被调换了文件名次序啦!!!

FUM和rcs中间那个字符,mp4结束一个字符,两个字符让中间段的字符选取文件名的方式变成 从右往左!!!

实际文件名是,Homeland S05E12 WEB-DL x264-FUM 4pm.scr


虽然楼主不知道为什么调换了持续后,这货就是个执行程序,罢了罢了。请教各位了。还是要吐槽下微软,显示.mp4 尾缀,图标是视频,岂不是帮助其伪装,让人无法察觉?(还不如 idm 和迅雷。。。)


楼主庆幸是 mac ,是虚拟机里的 windows , windows defender 还识别了,楼主还昨天刚刚把完整虚拟机镜像复制给了另一台 mac 。回去复制回来就没事儿了。但是寻常百姓如何是好?

再复制下个文件名,纪念中的这个病毒。 Homeland S05E12 WEB-DL x264-FUM ‮ 4pm.scr
7555 次点击
所在节点    分享发现
48 条回复
qnnnnez
2015-12-21 20:07:50 +08:00
有 UAC 应该没事的吧
FrozenYogurtPuff
2015-12-21 20:08:44 +08:00
@chztv rar 老种多半都没速度。。。
linjuyx
2015-12-21 22:24:48 +08:00
66666 u202 这字符神奇
Quaintjade
2015-12-21 23:57:19 +08:00
试了下 win10 ,详细视图里扩展名伪装生效(控制符有效),缩略图视图里扩展名伪装无效(显示 scr 扩展名)
canautumn
2015-12-22 00:13:28 +08:00
scr 确实是可执行文件,是屏幕保护程序的扩展名,这个应该从 Windows 95 时代就有了。不常用 Windows ,不知道 Windows 自带有没有像 Mac 那样的 Quarantine 功能,能保护你防止意外执行可执行文件的那种。另外提醒一下虚拟机下不要开文件共享,以前有虚拟机 Windows 下勒索软件通过文件共享把 Mac 下的文件都加密的。
Citrus
2015-12-22 00:34:47 +08:00
根本就不是漏洞,多少年前被写进教科书的玩意了ˊ_>ˋ看到那个多余的 rcs 瞬间懂了。。。
tnx2014
2015-12-22 00:53:53 +08:00
scr 是屏幕保护程序的扩展名,楼主把它理解成自带播放器的媒体文件(只是类比, scr 和 exe 一样本身就是可执行的,甚至 scr 文件改为 exe 一样可以运行)就能理解了,类似于自带播放器的 swf 文件,扩展名就变成 exe 。

Unicode 控制符没有什么可讲,特殊情况下才会用到,不知道不稀奇。
jings
2015-12-22 01:09:56 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/244980

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX