页面

2014年6月17日星期二

调戏网狗特务实录

在 Skype 遇到一个网狗特务 chexqster 昵称"野火",自己标注为在广东佛山,自称名叫"车向前"。

注意:共匪网狗特务通过加入 Skype 聊天室刺探异议人士群体,并到处发送木马病毒文件控制你的电脑。

附图是一个共匪网狗特务试图欺诈的例子,其发送的文件是个木马病毒。


它又给我一个木马病毒文件说是"杀毒扫描"软件或者"浏览器更新"之类,试图欺诈我运行,下一步是要你停掉杀毒软件,


它又给我发不同版本的木马病毒


我故意装作技术小白,给他一个截屏的病毒警告,拖它继续浪费时间。;)


它又给你发另一个版本的木马病毒文件。


网狗特务被我调戏得没办法,不吱声了。;) 它看到我说我的系统是苹果,就没下文了,可见网狗特务还比较低级,大部分针对微软系统攻击。


调戏网狗至少有两个好处:

1. 研究其行为特征和诈骗手法,获取木马病毒标本加以研究。
2. 浪费其人力资源至少可以令其少害一些人。

如果他再给我几个苹果系统的木马病毒研究一下就好了。我顺手获得了网购特务发送的4份有小差异的木马病毒标本。

MD5 Bytes 文件名(附加后缀 _trojan 以标注和防止误执行)
查毒报告
8844FA4EEE700BA0C3BFEE08EFCFD583 671,744 winupdate.exe_trojan https://www.virustotal.com/zh-cn/file/aaf83b10ba32fbcf9fedb57f361e0633d3ec85f2749bbf10f193ba4c6bbcd28d/analysis/1403002554/
EF35F9253D943F1DA1C2FBDABD9AF5D0 671,744 winupdate.exe_trojan2 https://www.virustotal.com/zh-cn/file/bfcdc3e66f343a5d944813cea9e8bb5b10e1fed53b406a966127832696e6cce3/analysis/1403003440/
38F5EF582D766C717D1FBA9754D88DB6 637,323 群体性事件操作指南.chm_trojan https://www.virustotal.com/zh-cn/file/53b8fe2be41564df2d27ddceffc36939319d30c5d19de8fb0107719f700301fa/analysis/1403001826/
240C1EE9965BBDC1A38056D549B81FFC 637,271 群体性事件操作指南.chm_trojan2
https://www.virustotal.com/zh-cn/file/e019b4a25f7f48ed81976c4bd7f7b404313f68535241b88ec39cb9977e5d3eca/analysis/1403003230/

注意,即便经过 virustotal 查毒报告无毒的,也依然可能有毒!而有时候也有些没有病毒的文件误报有毒。所以只能作为参考。但如果报告有毒,必须谨慎对待,不要轻易打开。

最好将网上传送的可疑文件,后缀名附加 _unsafe 以防止自己或别人意外双击运行木马病毒。

用网站[1]查询 Skype 用户的IP地址,确认其来源地址是这个 121.54.168.102 位于香港,但是它假冒是在广东佛山。
可见共匪网络特务在香港有一个重要据点,很可能在香港新华社、中联办或共军驻港军营内进行这类特务活动。

用 ipnetinfo [2] 可以查到该地址的所属网段注册信息:

% [whois.apnic.net]
inetnum:        121.54.168.0 - 121.54.168.255
netname:        SNW-HK
descr:          Sun Network (Hong Kong) Limited
descr:          Internet Service Provider in Hong Kong
country:        HK
admin-c:        KC1174-AP
tech-c:         TW291-AP
status:         ALLOCATED NON-PORTABLE
mnt-by:         MAINT-HK-SNW
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        Hotline: (852) 3611 0789
remarks:        Fax    : (852) 2125 0455
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        IDC@SNW.HK 20080228
source:         APNIC

person:         Ken Chan
nic-hdl:        KC1174-AP
remarks:        Sun Network (Hong Kong) Limited
remarks:        Internet Service Provider in Hong Kong
e-mail:         iprs.snl@gmail.com
address:        7/F, TRANS ASIA CTR
address:        18 KIN HONG ST, KWAI CHUNG
country:        HK
phone:          +852 2125 0455
mnt-by:         MAINT-HK-SNW
changed:        iprs.snl@gmail.com 20100819
abuse-mailbox:  iprs.snl@gmail.com
source:         APNIC

person:         Trident Wong
address:        Unit B1, G/F, 20 NG FONG ST
                SAN PO KONG, KOWLOON
country:        HK
phone:          +852-36110789
e-mail:         IPRS.SNL@GMAIL.COM
nic-hdl:        TW291-AP
mnt-by:         MAINT-HK-SUN
changed:        IPRS.SNL@GMAIL.COM 20061004
abuse-mailbox:  IPRS.SNL@GMAIL.COM
source:         APNIC

如果查询 Skype 用户的IP地址的网站不可用,也可以正在和网狗特务对话时,用 Sysinternal TCPview [5] 查看 Skype 进程的当前网络连接地址,逐一排除也能查出网狗特务来源地址(但也可能是他们用的代理服务器的地址),网络活动连接信息类似如下:

Skype.exe    7080    TCP    Dell    http    Dell    0    LISTENING                                        
Skype.exe    7080    TCP    Dell    https    Dell    0    LISTENING                                        
Skype.exe    7080    TCP    dell    49444    168.63.97.253    https    ESTABLISHED 微软
Skype.exe    7080    TCP    Dell    52646    Dell    0    LISTENING    28    2,144    24    623                        
Skype.exe    7080    TCP    dell    52646    121.54.168.102    2874    ESTABLISHED                                        
Skype.exe    7080    TCP    dell    52646    222.82.231.249    35428    ESTABLISHED                                        
Skype.exe    7080    TCP    dell    57031    trouterproxy.i.trouter.io    40034    ESTABLISHED 微软
Skype.exe    7080    TCP    dell    57037    65.54.167.9    12350    ESTABLISHED 微软
Skype.exe    7080    TCP    dell    59339    db3msgr5012511.gateway.messenger.live.com    https    ESTABLISHED            2    879                        
Skype.exe    7080    UDP    Dell    https    *    *                                            
Skype.exe    7080    UDP    Dell    52646    *    *                                            
Skype.exe    7080    UDP    Dell    64456    *    *        1    1    1    1                        
Skype.exe    7080    UDP    Dell    64457    *    *                                           

为防止以后忘记它是网狗特务,在 Skype 联系人中将其标注为网狗


参考:

[1] How to Find the IP Address of a Skype User http://www.wikihow.com/Find-the-IP-Address-of-a-Skype-User
    http://resolveme.org/index.php?do=resolve
[2] IPNetInfo : Retrieve IP Address Information from WHOIS ... http://www.nirsoft.net/utils/ipnetinfo.html
[3] 调戏网狗特务实录 https://plus.google.com/101969914461424619112/posts/KgMf8E9suYP
[4] Sysinternals Suite http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
[5] Windows Sysinternals > Downloads > Networking Utilities > TCPView http://technet.microsoft.com/en-us/sysinternals/bb897437

请参考 邮件安全提示 http://goo.gl/e7gPk6 = http://lihliiposterous.wordpress.com/2010/06/10/%E9%82%AE%E4%BB%B6%E5%AE%89%E5%85%A8%E6%8F%90%E7%A4%BA/
可疑邮件请保存邮件源码压缩后发送到 wlaqgw@gmail.com 提供分析和处理建议。发空白信给 wlaq-gg+subscribe@googlegroups.com 可订阅网络安全公告邮件组,得到及时的警告通知,技术咨询服务。

发表评论