V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xcjzv
V2EX  ›  分享发现

讲一讲今天中病毒的经历

  •  
  •   xcjzv · 2015-12-21 09:58:21 +08:00 · 7571 次点击
    这是一个创建于 3268 天前的主题,其中的信息可能已经有所发展或是发生改变。
    楼主上一次中病毒还是初中的事情,十多年了,头一回。

    今天国土安全 s05 大结局,就 google 了下,找到了磁力,(文件名是 Homeland S05E12 WEB-DL x264-FUM rcs.mp4 ),放到迅雷离线下载上,秒完成。打开虚拟机, IDM 开启下载。一如既往得熟练。 idm 下载完,弹出完成对话框。直接打开。

    咦。 Windows Media 怎么没出来?五秒钟后,右下角 windows defender 弹出来, Virus Detected ! Homeland S05E12 WEB-DL x264-FUM .exe 发现病毒!!!

    楼主哪个病毒没见过?身经百战!

    但这次惊得从凳子上要蹦起来了!楼主下载的是 mp4 啊, windows media 有弹窗再网页挂马我也认了!楼主下载的是尼玛的 mp4 啊,怎么蹦出来的 exe ?!

    楼主从小到大,无论哪个圈子里,都是驾驭电脑的好手,身边人眼里的标准技术宅( wang guan )。虽说不是搞计算机的科班出身,但平日折腾 vps 搭建个 strongswan ocserv 不在话下,仗着自己 mac 都是正版软件, windows 又是在虚拟机里又买了 sandboxie ,各种肆意裸奔(钟情 comodo 很多年,无奈这货在 win10 下和 sandboxie 冲突了,两相取舍当然是 sandboxie )

    ======拉回来 讲正事====

    楼主吃惊了 20 秒,还是觉得不对,还是疑惑,尼玛明明下载的是 mp4 ;再梳理下前面说的那个过程中的疑点,磁力确实是在那种乱七八糟的 bt 聚合网站找的,疑点二是迅雷离线下载网页上这文件也不是播放视频的图标,而是一个迅雷无法识别的图标。

    再去研究研究这个文件!奇怪, idm 下载完成列表里这货图标是 exe ,可文件名明明是.mp4 结尾;


    再吐槽下微软,文件夹下这货还真的是播放图标!!!!!!配上.mp4 尾缀!!!是不是无懈可击!!!!


    好吧,还是有懈可击的。我习惯性去选中他文件名,奇怪,无论在 idm 里还是在文件夹里,最后 rcs.mp4 这部分里 rcs.这几个字就是选不中!!!这尼玛是什么问题?
    复制文件名过来就是 Homeland S05E12 WEB-DL x264-FUM ‮ 4pm
    你们可以试一下,选这段话,最右边 mp4 就是选不中!!
    再换一种选取方式, Homeland S05E12 WEB-DL x264-FUM ‮ 4pm.scr
    rcs.mp4 依然选不中!

    你们选中仔细看, rcs 前面会有一个光标,mp4后面还有一个光标。楼主终于确定这个把戏的核心就是这个光标了!这尼玛什么特殊符号???

    ====以下很乱,可跳跃看结论===

    做个试验:“哈哈 12345 ”,中间两个哈哈之间插入这个文件名, FUM 前面省略哈,变成了 哈 FUM ‮ 4pm.scr 哈 12345

    是不是凌乱了? 哈+光标前面部门+(“哈 12345 ” 倒过来)+ rcs.mp4 ,楼主可是在哈哈两个字中间插入的!

    再试验下 12345 后面复制上去,成了 12345.4pm.scr

    ===结论===

    所以这个把戏就是,通过特殊符号的障眼法,调换了实际文件名持续,让我们看到虽然是 mp4 在最后面,但是实际被调换了文件名次序啦!!!

    FUM和rcs中间那个字符,mp4结束一个字符,两个字符让中间段的字符选取文件名的方式变成 从右往左!!!

    实际文件名是,Homeland S05E12 WEB-DL x264-FUM 4pm.scr


    虽然楼主不知道为什么调换了持续后,这货就是个执行程序,罢了罢了。请教各位了。还是要吐槽下微软,显示.mp4 尾缀,图标是视频,岂不是帮助其伪装,让人无法察觉?(还不如 idm 和迅雷。。。)


    楼主庆幸是 mac ,是虚拟机里的 windows , windows defender 还识别了,楼主还昨天刚刚把完整虚拟机镜像复制给了另一台 mac 。回去复制回来就没事儿了。但是寻常百姓如何是好?

    再复制下个文件名,纪念中的这个病毒。 Homeland S05E12 WEB-DL x264-FUM ‮ 4pm.scr
    第 1 条附言  ·  2015-12-21 11:21:19 +08:00
    感谢各位, U+202E 字符! annexe.pdf rcs.pdf 配上 icon ,着实难防。

    看来我以前的裸奔时代,看文件名+图标 有风险啊,还是要看文件类型
    48 条回复    2015-12-22 01:09:56 +08:00
    PublicID
        1
    PublicID  
       2015-12-21 10:04:00 +08:00 via Android
    windows 显示的文件类型应该是正常的,图标是自带的
    PublicID
        2
    PublicID  
       2015-12-21 10:05:46 +08:00 via Android
    @PublicID 久到我小学时代就有的东西,多少年了
    xcjzv
        3
    xcjzv  
    OP
       2015-12-21 10:06:11 +08:00
    @PublicID 正解!!!
    xcjzv
        4
    xcjzv  
    OP
       2015-12-21 10:07:08 +08:00
    @PublicID 文件类型是屏保文件。。。
    lycos
        5
    lycos  
       2015-12-21 10:09:12 +08:00
    我昨天电脑好像也中毒了 鼠标点击关闭后 频繁跳出窗口 然后关不完 以前出现过几次 我没在意 我表示在出现这种情况下我还进行过 n 次的网银操作 不知道在中毒的情况下 操作网银会有什么影响?
    Wao
        6
    Wao  
       2015-12-21 10:24:59 +08:00
    安装个带自己设计的媒体文件类型图标的第三方播放软件应该可破
    dong3580
        7
    dong3580  
       2015-12-21 10:36:36 +08:00
    @xcjzv
    打开隐藏文件和文件夹,显示文件后缀,常识性。
    xcjzv
        8
    xcjzv  
    OP
       2015-12-21 10:37:57 +08:00
    @dong3580 请仔细看吧
    kozzen
        9
    kozzen  
       2015-12-21 10:40:16 +08:00
    有意思,把光标放在该文件上,会显示文件类型是屏幕保护程序。
    RecursiveG
        10
    RecursiveG  
       2015-12-21 10:45:48 +08:00
    Luzifer
        11
    Luzifer  
       2015-12-21 10:49:25 +08:00
    特殊符号从右往左撸的,阿拉伯文那样
    ADMlN
        12
    ADMlN  
       2015-12-21 10:50:59 +08:00   ❤️ 1
    Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) http://www.fileformat.info/info/unicode/char/202e/index.htm

    在 windows 下的文本控件中鼠标右键->选“插入 Unicode 控制字符”->选“ RLO ”

    (我在一些网站的昵称用的就是这个字符,然后别人经常以为网站 BUG 了( ͡° ͜ʖ ͡°) )
    ks3825
        14
    ks3825  
       2015-12-21 10:55:03 +08:00 via Android
    只有用 Windows Media 才会中招吧,图标一样。现在谁还用啊。这一定是多年前的病毒
    yksoft1
        15
    yksoft1  
       2015-12-21 10:59:39 +08:00
    @ks3825 事实上这种类型的文件名最初是在日本向的钓鱼邮件中发现的
    feikeq
        16
    feikeq  
       2015-12-21 11:01:54 +08:00
    那个调换顺序的字符怎么打出来?
    yxc
        17
    yxc  
       2015-12-21 11:02:38 +08:00
    美国时间周天晚上 8 点半放, 9 点半放完

    就算你看直播,北京时间也要上午 11 点半才放完,你 10 点半就想网上找资源?
    21grams
        18
    21grams  
       2015-12-21 11:08:35 +08:00
    居然用 windows media
    jasontse
        19
    jasontse  
       2015-12-21 11:10:31 +08:00 via iPad
    .scr 是屏保文件,也是一种可执行程序,和 .exe 一样显示它本来的 icon 并没有什么问题。
    xcjzv
        20
    xcjzv  
    OP
       2015-12-21 11:13:36 +08:00
    @21grams
    @ks3825
    楼主习惯安装 shark007 的 win10codecs 解码器,自带 windows media 流畅播放一切视频


    @yxc 今年到了 12 月才纳闷,怎么美剧还没更新(搜狐压根没找到)上个礼拜知道都更新到 e11 了,周末两天看的,,没注意美国更新时间哈
    qian19876025
        21
    qian19876025  
       2015-12-21 11:20:12 +08:00
    为嘛要双击打开
    chztv
        22
    chztv  
       2015-12-21 11:36:10 +08:00
    为什么要去乱 78 糟的网站下,好好的几大站不去下?比如 那个 K????t????的 ,还有那个 r?r?g 的,都是不用注册,直接就能磁力的……算了不能再多说了,不然就……
    feikeq
        23
    feikeq  
       2015-12-21 11:40:23 +08:00
    你们都没明白楼主的意思,也就是说一个 scr 可执行文件,在显示所有文件后缀的情况下 windows 里显示的是一个.mp4 文件并且图标也是一个播放的图标,其实是个 EXE 所图标伪装成了视频的图标。所以一个 MP4 后缀文件你不双击打开你还右键打开?这事本来就说明了淹死的都是会游泳的人这个道理
    zro
        24
    zro  
       2015-12-21 11:40:24 +08:00
    EZTV 已回归 N 早啦,楼主不知道?
    whatufo
        25
    whatufo  
       2015-12-21 11:46:39 +08:00
    66666666666 新思路耶!~
    UnitTest
        26
    UnitTest  
       2015-12-21 12:37:27 +08:00
    楼主虚拟机什么系统?win8 和 win10 会有这个风险么?
    这个确实迷惑性挺强.总觉得显示扩展名就安全了,看来还是不够.
    以后下载文件统一重命名再看.
    不过使用下载软件应该安全一些,scr 应该不会有边下边播的功能.
    est
        27
    est  
       2015-12-21 12:44:15 +08:00
    这个东西很 66666666666666666666666666

    所以视频文件我从来都是拖拽到播放器。
    Semidio
        28
    Semidio  
       2015-12-21 12:51:39 +08:00
    自从用了 Icaros ,视频文件都是先看缩略图的
    maxbon
        29
    maxbon  
       2015-12-21 12:54:07 +08:00
    还好我每次打开媒体文件都是右键选打开方式,也不知道什么时候养成的习惯
    loading
        30
    loading  
       2015-12-21 12:57:53 +08:00 via Android
    我系统的图标都是改过的,文件夹是蓝色的,这种美化措施,让我少点很多这类文件。
    xcjzv
        31
    xcjzv  
    OP
       2015-12-21 12:58:44 +08:00
    @est 视频文件不是重点啦,比如 annexe.doc .pdf .mp3 同样中招


    @UnitTest 我 win10 。重点不是 windows 有没有这个风险,关键在于这个病毒里面是什么。这次运气好,里面的病毒被 win10 windows defender 拦截。

    回想起来,迅雷里面的图标, idm 下载记录里面的图标,另外,最最重要是文件夹用 detail 视图,文件类型里面看得出是 scr
    kiritoalex
        32
    kiritoalex  
       2015-12-21 13:22:49 +08:00
    这个东西 3.4 年之前卡饭一帮人曾经讨论过。。。 HIPS 区我估计现在还有相关的记录吧。。。。专门用 malware defender 写规则来防御这种 特殊文件名字符的病毒
    xcjzv
        33
    xcjzv  
    OP
       2015-12-21 16:55:34 +08:00
    @ADMlN 请问,昵称用这个字符,是什么效果呢?为何网站 BUG 啊

    re :(我在一些网站的昵称用的就是这个字符,然后别人经常以为网站 BUG 了( ͡° ͜ʖ ͡°) )
    ADMlN
        34
    ADMlN  
       2015-12-21 17:04:20 +08:00
    @xcjzv 昵称为空,而且之后的文本内容前后颠倒
    CRH
        35
    CRH  
       2015-12-21 17:53:15 +08:00
    有点意思, lz 去 wooyun 提交一下,看看能换几个 rank
    Khlieb
        36
    Khlieb  
       2015-12-21 18:17:14 +08:00 via Android
    @feikeq BabelMap 能调出来
    mmmyc
        37
    mmmyc  
       2015-12-21 19:28:17 +08:00 via Android
    很多年前就爆出来的漏洞了。你装的是 xp 吗?
    loading
        38
    loading  
       2015-12-21 19:40:44 +08:00 via Android
    不要给迅雷做广告了,这个字符只能骗人,不能骗机器。
    lisaac
        39
    lisaac  
       2015-12-21 19:55:27 +08:00
    刚刚测试了下 挺有趣的
    同楼主看文件后缀裸奔 以后要小心了 尽量用右键打开
    pheyer
        40
    pheyer  
       2015-12-21 20:01:26 +08:00
    ‮其实早就有病毒用过了,换文字顺序我也是前一段时间才搞懂的,哈哈
    qnnnnez
        41
    qnnnnez  
       2015-12-21 20:07:50 +08:00 via iPhone
    有 UAC 应该没事的吧
    FrozenYogurtPuff
        42
    FrozenYogurtPuff  
       2015-12-21 20:08:44 +08:00
    @chztv rar 老种多半都没速度。。。
    linjuyx
        43
    linjuyx  
       2015-12-21 22:24:48 +08:00
    66666 u202 这字符神奇
    Quaintjade
        44
    Quaintjade  
       2015-12-21 23:57:19 +08:00
    试了下 win10 ,详细视图里扩展名伪装生效(控制符有效),缩略图视图里扩展名伪装无效(显示 scr 扩展名)
    canautumn
        45
    canautumn  
       2015-12-22 00:13:28 +08:00
    scr 确实是可执行文件,是屏幕保护程序的扩展名,这个应该从 Windows 95 时代就有了。不常用 Windows ,不知道 Windows 自带有没有像 Mac 那样的 Quarantine 功能,能保护你防止意外执行可执行文件的那种。另外提醒一下虚拟机下不要开文件共享,以前有虚拟机 Windows 下勒索软件通过文件共享把 Mac 下的文件都加密的。
    Citrus
        46
    Citrus  
       2015-12-22 00:34:47 +08:00 via iPhone
    根本就不是漏洞,多少年前被写进教科书的玩意了ˊ_>ˋ看到那个多余的 rcs 瞬间懂了。。。
    tnx2014
        47
    tnx2014  
       2015-12-22 00:53:53 +08:00
    scr 是屏幕保护程序的扩展名,楼主把它理解成自带播放器的媒体文件(只是类比, scr 和 exe 一样本身就是可执行的,甚至 scr 文件改为 exe 一样可以运行)就能理解了,类似于自带播放器的 swf 文件,扩展名就变成 exe 。

    Unicode 控制符没有什么可讲,特殊情况下才会用到,不知道不稀奇。
    jings
        48
    jings  
       2015-12-22 01:09:56 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2797 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:36 · PVG 19:36 · LAX 03:36 · JFK 06:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.