关于一个假的病毒

从DISOG的博客看到了一篇文章，说是他的邮箱收到一封邮件，指向一个postcard.jpg.exe，有分析习惯的他就下载回来了，一看，原来是一个fakevirus，这fake-antivirus见得多了，比如什么antispy2010什么的，骗钱弹窗口搞的不亦乐乎，但是假病毒呢却不多见。

关于此文章，有一篇更新的主题：This was a PHISHING site! - Fakevirus时隔一年再现 
（如果你没有耐心看完的话，简略一点，就是：这个程序没有毒的，不用担心）

本文来自www.sacour.cn 转载注明来源

（由于没有取到样本，以下代码部分根据发文者图片猜测）

程序启动后，使用WSAStartup()建立一个2.0的连接，并试图获取主机名“www.phishcop.net”的地址，如果获取不到则跳转到末尾退出程序，获取到的话就会调用一个子过程。

int main(int argc, char *argv[])
{
    char *MHOST,*FILE;
    struct hostent *host;
    long hs;
   
    MHOST="www.phishcop.net";
    FILE="/star.gif";
   
    WSADATA wsaData;
    int iRet = WSAStartup(MAKEWORD(2,0), &wsaData);
   
    if((host=gethostbyname(MHOST))==NULL){ExitProcess(0);}
    hs=ntohs(50);
    ShowMessage(MHOST,0,FILE,0,0,0,0,0);  //图片没有中间过程，这个参数是猜测的

    return EXIT_SUCCESS;
}

随后，程序弹出一个对话框，文章作者没发出中间代码，不知道他传入的参数有什么用……

int ShowMessage(char *arg1,char *arg2,char *arg3,char *arg4,
                char *arg5,char *arg6,char *arg7,int arg8)
{
    //GET /star.gif ?
      MessageBeep(MB_ICONEXCLAMATION);
      MessageBoxA(NULL,"You BOZO! You could have just caught \
                        your self a TROJAN!! Don't click on \
                        links from emails like that again!!! \
                        When you receive an email that looks \
                        funny or doesn't make sense, JUST DELETE \
                        IT!!! If you want to learn more, go to \
                        http://www.phishcop.net/trojans/ on the web.",
                        "You just did a BOZO thing!!!",MB_OK||MB_ICONEXCLAMATION||MB_APPLMODAL);
}

不过肯定的是他会弹出个对话框提示：

“You BOZO! You could have just caught yourself a TROJAN!! Don't click on links from emails like that again!!! When you receive an email that looks funny or doesn't make sense, JUST DELETE IT!!! If you want to learn more, go to  ... on the web.”
附带一个不负责任的翻译
(你个※※! 你刚才搞不好就会中奖了!! 下次别没事干点邮件里面的那种连接了!!! 如果你收到个搞笑的或者根本不知道他在说什么灰机的邮件，直接删掉!!! 当然如果你想了解更多，请访问: ... )

两种情况，如果邮件发来的不是exe，而是连接的话，点开，比如
hxxp://fm101.fm/~jack/eppicard-ssl/secure-update/vaedcclient/siteLogonClient.recip/security.htm
hxxp://200.195.16.4/~bruno/l.htm
hxxp://pysy.jurnalist.biz/

进去之后他会提示你：
The email you are responding to is BOGUS!
It was not sent by PayPal, eBay, your bank, credit card company or the IRS!
(don't get the wrong idea - we did not sent the email either)
You have been directed to a PHISHING SITE!!!
NEVER EVER give your personal info to a web site
in response to an email you receive!

（你正在回应的邮件内容是假的！
 这不是PayPal，eBay或者你的银行、信用卡公司或者税务局发来的！
(当然你别想歪了，我们也不会发的)
你已经被重定向到一个钓鱼页了！！
记住永远不要把你的个人信息发到你收到邮件中的地址！）

好吧，不论怎样他的本意是好的，但是他们用的站点……确实也是黑过来的……在检测中发现几个站点被多次入侵过，所以，这份意思心领就好，不要访问那些站点了。

或者是点击开他的官网，可以看到他们对PhishTank的怨恨……姑且可以这么说……怨恨的语调，和要重振旗鼓的决心，估计是从05年起到现在也没几个人访问的缘故，不过，让用户相信，至少得在服务或是你的界面上下下功夫吧。