Document2 病毒附件 求助 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xyu_ovi
V2EX    问与答

Document2 病毒附件 求助

  •   
      xyu_ovi 2016-03-26 18:58:40 +08:00 3373 次点击
    这是一个创建于 3537 天前的主题,其中的信息可能已经有所发展或是发生改变。

    情况: Gmail apps 账户 桌面只在 Ubuntu 下登录 手机端使用 android cloudmagic 客户端 授权 cloudgmgic gmail 权限 chrome 完整权限 手机有 root 但是一直完全禁用 su 权限。

    症状: 发件人 收件人都是我的账户 账户有两个别名都被用作发病毒 邮件在 sent mail 列表里面 也就是说邮件是通过登录以后发送的并不是伪造发件人

    其他说明: 几天前收到这个的时候没太在意 以为是被伪造了发件人 出于好奇把附件下载下来了解压以后是个 JS 脚本 因为知道很可能是病毒 所以并没有执行过。几天期使用杀毒软件扫描了这个文件 没有报毒 Gmail 服务器也没有提示是病毒 附件可以被下载 这两天有连续收到多次这个邮件 今天登录了网页端 发现 Gmail 服务器报了病毒了。而且这个邮件出现在我的 sent mail 列表里面

    所以我觉得很有可能是我的手机 或者 电脑中招了。但是不知道问题出在哪儿 有没有人遇到同样情况?

  • 发件人
  • Gmail
  • 病毒
  • 邮件
    29 条回复    2016-03-27 18:58:43 +08:00
    qq316107934
        1
    qq316107934  
       2016-03-26 19:07:34 +08:00
    把 js 发出来被
    lavasing
        2
    lavasing  
       2016-03-26 19:13:51 +08:00 via Android
    我的 inbox.com 的邮箱也收到了名为 Document 2.zip 的文件
    在 qq 邮箱上提示有毒,解压出来是个 js 文件
    代码在 http://pastebin.com/RsP2iuyb
    lavasing
        3
    lavasing  
       2016-03-26 19:17:15 +08:00 via Android
    @qq316107934 见二楼
    xyu_ovi
        5
    xyu_ovi  
    OP
       2016-03-26 19:23:49 +08:00
    @lavasing 其实问题是邮件是从我的账户发出去的。 并不是伪造发件人 所以我才担心的
    qq316107934
        6
    qq316107934  
       2016-03-26 19:35:50 +08:00
    @xyu_ovi js 混淆了,一会儿回寝室开电脑看下,看到倒数第二行貌似下载了一个 exe 文件来执行啊。
    VmuTargh
        7
    VmuTargh  
       2016-03-26 19:37:29 +08:00
    @lavasing 试试发我 yandex: [email protected]
    lavasing
        8
    lavasing  
       2016-03-26 20:02:21 +08:00 via Android
    @VmuTargh 不方便发呀。。。
    发的时候直接 virus message discarded 了。
    xd547
        9
    xd547  
       2016-03-26 20:08:49 +08:00
    我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。
    qq316107934
        10
    qq316107934  
       2016-03-26 20:13:17 +08:00
    是个 Downloader ,楼主最终应该是中了 exe 病毒了。
    xd547
        11
    xd547  
       2016-03-26 20:27:27 +08:00
    我这边用的是 google 的域名邮箱 sent mail 里面没有发件记录。
    xd547
        12
    xd547  
       2016-03-26 20:29:11 +08:00
    收件的邮箱地址是 xx[at]我的域名。不是 rainysummer[at]我的域名。只有一个用户,设置了代收。
    xd547
        13
    xd547  
       2016-03-26 20:30:55 +08:00
    我这边还开启了两步验证。
    messyidea
        14
    messyidea  
       2016-03-26 20:32:50 +08:00
    加密压缩应该查不出来病毒吧。
    xd547
        15
    xd547  
       2016-03-26 20:33:36 +08:00
    “您尚未授予任何应用或网站访问您的 Google 帐户。”
    messyidea
        16
    messyidea  
       2016-03-26 20:35:02 +08:00
    不好意思,我貌似理解错了 (
    qq316107934
        17
    qq316107934  
       2016-03-26 20:35:34 +08:00
    @xyu_ovi lrAXrUK 为 ActiveXObject 对象,之后病毒分别调用了 WScript.Shell,MSXML2.XMLHTTP 和 ADODB.Stream 来下载和保存,执行病毒。
    xd547
        18
    xd547  
       2016-03-26 20:43:51 +08:00
    看了下邮件头
    Received: from HP ([113.188.178.237])
    by mx.google.com with ESMTP id iz10si3874325obb.24.2016.03.24.08.58.13
    for <[my mail address]>;
    xd547
        19
    xd547  
       2016-03-26 20:45:34 +08:00
    我这边看的结果应该是伪造发件人。并未打开 js 执行过。
    qq316107934
        20
    qq316107934  
       2016-03-26 20:51:56 +08:00
    @qq316107934 病毒下载的文件是 http://palahasit.com/system/logs/98h7b66gb.exe 但很明显现在已经被其他人(或者作者?)和谐了,无法进行进一步分析。
    qq316107934
        21
    qq316107934  
       2016-03-26 20:54:21 +08:00
    @xyu_ovi 看 EXE 里的留言,应该是一个加密勒索型病毒,楼主保重啊!
    xyu_ovi
        22
    xyu_ovi  
    OP
       2016-03-26 21:06:36 +08:00
    @qq316107934 并没有执行 JS 文件
    evilangel
        23
    evilangel  
       2016-03-27 13:19:48 +08:00
    我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。认为是伪造发件人发送的直接就给删了,现在楼主说不是伪造的就奇怪了。一直用的 Mac 也没乱装东西,手机 iOS 也没越狱,如果不是伪造的发件人又是哪来的呢。
    Slienc7
        24
    Slienc7  
       2016-03-27 14:12:41 +08:00
    方便的话发一个完整邮件原始文件看看。
    Slienc7
        25
    Slienc7  
       2016-03-27 14:15:57 +08:00
    @evilangel @lavasing @xyu_ovi @xd547
    近期是否新增 Chrome 扩展等?
    lavasing
        26
    lavasing  
       2016-03-27 14:42:44 +08:00 via Android
    @xgowex 近期没有下载什么扩展
    我的邮件里就一个附件,没有正文。代码在二楼
    xd547
        27
    xd547  
       2016-03-27 15:08:52 +08:00 via iPhone
    @xgowex 是要查下扩展
    evilangel
        28
    evilangel  
       2016-03-27 17:20:56 +08:00
    @xgowex 最近没有装什么扩展。。
    xd547
        29
    xd547  
       2016-03-27 18:58:43 +08:00
    @xgowex 刚刚查了下,没有什么特别的扩展,都是开发相关的。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     5449 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 26ms UTC 01:32 PVG 09:32 LAX 17:32 JFK 20:32
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86