Document2 病毒附件 求助

2016-03-26 18:58:40 +08:00
 xyu_ovi

情况: Gmail apps 账户 桌面只在 Ubuntu 下登录 手机端使用 android cloudmagic 客户端 授权 cloudgmgic gmail 权限 chrome 完整权限 手机有 root 但是一直完全禁用 su 权限。

症状: 发件人 收件人都是我的账户 账户有两个别名都被用作发病毒 邮件在 sent mail 列表里面 也就是说邮件是通过登录以后发送的并不是伪造发件人

其他说明: 几天前收到这个的时候没太在意 以为是被伪造了发件人 出于好奇把附件下载下来了解压以后是个 JS 脚本 因为知道很可能是病毒 所以并没有执行过。几天期使用杀毒软件扫描了这个文件 没有报毒 Gmail 服务器也没有提示是病毒 附件可以被下载 这两天有连续收到多次这个邮件 今天登录了网页端 发现 Gmail 服务器报了病毒了。而且这个邮件出现在我的 sent mail 列表里面

所以我觉得很有可能是我的手机 或者 电脑中招了。但是不知道问题出在哪儿 有没有人遇到同样情况?

3019 次点击
所在节点    问与答
29 条回复
qq316107934
2016-03-26 19:07:34 +08:00
把 js 发出来被
lavasing
2016-03-26 19:13:51 +08:00
我的 inbox.com 的邮箱也收到了名为 Document 2.zip 的文件
在 qq 邮箱上提示有毒,解压出来是个 js 文件
代码在 http://pastebin.com/RsP2iuyb
lavasing
2016-03-26 19:17:15 +08:00
@qq316107934 见二楼
xyu_ovi
2016-03-26 19:22:28 +08:00
xyu_ovi
2016-03-26 19:23:49 +08:00
@lavasing 其实问题是邮件是从我的账户发出去的。 并不是伪造发件人 所以我才担心的
qq316107934
2016-03-26 19:35:50 +08:00
@xyu_ovi js 混淆了,一会儿回寝室开电脑看下,看到倒数第二行貌似下载了一个 exe 文件来执行啊。
VmuTargh
2016-03-26 19:37:29 +08:00
@lavasing 试试发我 yandex: admin@etula.me
lavasing
2016-03-26 20:02:21 +08:00
@VmuTargh 不方便发呀。。。
发的时候直接 virus message discarded 了。
xd547
2016-03-26 20:08:49 +08:00
我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。
qq316107934
2016-03-26 20:13:17 +08:00
是个 Downloader ,楼主最终应该是中了 exe 病毒了。
xd547
2016-03-26 20:27:27 +08:00
我这边用的是 google 的域名邮箱 sent mail 里面没有发件记录。
xd547
2016-03-26 20:29:11 +08:00
收件的邮箱地址是 xx[at]我的域名。不是 rainysummer[at]我的域名。只有一个用户,设置了代收。
xd547
2016-03-26 20:30:55 +08:00
我这边还开启了两步验证。
messyidea
2016-03-26 20:32:50 +08:00
加密压缩应该查不出来病毒吧。
xd547
2016-03-26 20:33:36 +08:00
“您尚未授予任何应用或网站访问您的 Google 帐户。”
messyidea
2016-03-26 20:35:02 +08:00
不好意思,我貌似理解错了 (
qq316107934
2016-03-26 20:35:34 +08:00
@xyu_ovi lrAXrUK 为 ActiveXObject 对象,之后病毒分别调用了 WScript.Shell,MSXML2.XMLHTTP 和 ADODB.Stream 来下载和保存,执行病毒。
xd547
2016-03-26 20:43:51 +08:00
看了下邮件头
Received: from HP ([113.188.178.237])
by mx.google.com with ESMTP id iz10si3874325obb.24.2016.03.24.08.58.13
for <[my mail address]>;
xd547
2016-03-26 20:45:34 +08:00
我这边看的结果应该是伪造发件人。并未打开 js 执行过。
qq316107934
2016-03-26 20:51:56 +08:00
@qq316107934 病毒下载的文件是 http://palahasit.com/system/logs/98h7b66gb.exe 但很明显现在已经被其他人(或者作者?)和谐了,无法进行进一步分析。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/266518

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX