2014年12月9日星期二

Fwd: “人权行动小额资助项目”2015年度启事

邮件中的链接是从google docs下载一个rar文档,解压缩后得到
人权行动小额资助项目表格 ?cod.scr
人权行动小额资助项目列表?slx.scr

这两个文档上传到virustotal显示被分析出病毒:
https://www.virustotal.com/zh-cn/file/f083699cf82cc8f8d76ccd22d2cb6b48335a054ed2924fa21c774719cf21c9be/analysis/1418179882/

https://www.virustotal.com/zh-cn/file/ba75da2645c05b677e2a6fc8471409a539e623a1c3f60473db0627916a3b8e29/analysis/

病毒的文件名可能利用了特殊的技巧,导致显示后缀为 xls和doc

人权行动小额资助项目列表‮slx.scr 

人权行动小额资助项目表格 ‮cod.scr
此攻击邮件源代码保存在 http://file.zuo.la/virusmail/2014DEC/2014decrar.txt

---------- 已转发邮件 ----------
发件人: 潘永忠 <tianrnu2050@gmail.com>
日期: 2014年12月8日 下午9:46
主题: "人权行动小额资助项目"2015年度启事
收件人:


2015年项目重点资助内容:酷刑的预防和禁止、少数族裔平等权、残疾人权利、妇女人权、适足住房权、劳工权、健康权, 儿童权等, 以及这些权益所包涵的平等原则——致力于消除歧视的行动,如倡导法规改革废除户口制度等等。

"人权行动小额资助项目"资助对象限于民间独立团体。

行动类和调研类项目时间一年;资助额度3万元到5万元人民币不等,视项目规模、时间跨度、参加人员的经验技能和项目执行的实际需要而定。

申请方式:

提交一份将"项目申请意向书"。意向书内容包括:

(1)描述希望得到资助的活动的具体内容,包括时间跨度、目标、预期结果、即时效果和长期性影响、以及用于衡量是否取得预期结果和即时效果的指标,并请简介用什么方式来评估该项目。

(2)介绍申请开展的活动如何与本资助的宗旨符合,该活动的创造性、可持续性或雪球效应、以及与现有其它团体开展的活动是否重复或有互补性;

(3)介绍申请团队的使命、活动能力、从事类似活动的经验。

(4)预计该活动项目开支的总额。为了表明该项目的高效率,请注明预算总开支中哪部分由其它方(包括志愿者)承担、哪部分向本基金申请。

意向书全文不超过500字。如果意向书被接纳,我们会主动与申请者联系,并邀请申请者提交正式项目申请书,见附件。

人权行动小额资助项目列表
  
   下载


潘永忠

2014年1月3日星期五

Fwd: 可疑登录已被阻止

又收到一封标题为《可疑登录已被阻止》的钓鱼邮件,提供的验证密码  的链接的地址是  http://mail.gooog1e.com:57251/g/zh/ ,这显然是骗密码的地址,我应该提供一个假密码才好。
 


---------- Forwarded message ----------
From: <administrator@support.google.com>
Date: 2014/1/3
Subject: 可疑登录已被阻止
To: zuola.com@gmail.com


 

尊敬的用户,您好!

最近有人试图使用您的密码登录您的 Google 帐户。此人使用的是电子邮件客户端之类的应用或移动设备。

我们阻止了此次登录尝试,以防黑客入侵您的帐户。请查看该登录尝试的详细信息:


IP 地址:212.74.224.104
位置:England, United Kingdom


如果该登录尝试并非您本人所为,则可能是其他人试图访问您的帐户。您应该立即登录该帐户并验证密码。

验证密码

如果是您本人所为,并且您在访问帐户时遇到问题,请完成以下网址中列出的问题排查步骤:http://support.google.com/mail?p=client_login

此致
Google 帐户小组敬上
本电子邮件地址不能接受回复邮件。有关详情,请访问 Google 帐户帮助中心
我们向您发送这封重要的电子邮件通知,目的是让您了解您的 Google 产品或帐户发生的重大变化。

© 2013 Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

2013年11月26日星期二

Fwd: 【律师联盟】律师互助储蓄章程

收到政府资助的APT攻击邮件一封。

VirusTotal扫描结果:在这里


---------- 已转发邮件 ----------
发件人: 律师王成 <wangchenglawyer@yeah.net>
日期: 2013年11月26日下午3:49
主题: 【律师联盟】律师互助储蓄章程
收件人: zuola.com@gmail.com


各们朋友,贸然给你们发邮件,在此特别说明本邮件组是律师之间倡导成立一个律师互助组建立的,用来公布互助组信息,并沟通和交流意见,如果你不愿意收到此邮件,请您退出,如果你愿意为关注前行的律师朋友,请关注他们。







2013年11月4日星期一

Fwd: 请支援民主斗士颜伯钧

 收到病毒邮件一封,邮件源代码保存在 http://file.zuo.la/virusmail/2013NOV/hnlawyeroffice@yeah.net.txt

Virustal分析结果在:

https://www.virustotal.com/zh-cn/file/94dacae29dc11aa1fa30c558d3765c124797a248d14127ad4444bf41d3579342/analysis/1383564350/

 欢迎安全研究者进一步研究,若能贴了邮件行为就更好了。

以下是 http://scan.xecure-lab.com 的分析结果:

民主斗士颜伯钧简历.doc

Date2013-11-04 19:31:13
Type RTF
Size651159
HashMD5 : e2ceabf6cfc8fc1cd4dd3dcdfa0dc200 [VT]
SHA1: d737c16649964c594c4a1fdf20bbb8117401f73c

Information

Malware

The analyzed sample has these behaviors: processes hijacking and code injection, Ability with network behavior, Keylogger
CVECVE-2012-0158MS12-027, The (1) ListView, (2) ListView2, (3) TreeView, and (4) TreeView2 ActiveX controls in MSCOMCTL.OCX in the Common Controls in Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, and 2008 SP2, SP3, and R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, and 2009 Gold and R2; Visual FoxPro 8.0 SP1 and 9.0 SP2; and Visual Basic 6.0 Runtime allow remote attackers to execute arbitrary code via a crafted (a) web site, (b) Office document, or (c) .rtf file that triggers 'system state' corruption, as exploited in the wild in April 2012, aka 'MSCOMCTL.OCX RCE Vulnerability.'
Sample Time
Malware File
  • %SystemDrive%\Documents and Settings\All Users\DRM\WLM\TMAS_WLMHook.dll
    MD5 = c6a27ccba8e694e50cd99c72****
  • %USERPROFILE%\Local Settings\Temp\DW20.dll
    MD5 = ed026e47c53c00ad14172087****
  • %SystemDrive%\Documents and Settings\All Users\DRM\WLM\TMAS_WLMMon.exe
    MD5 = 938c1e2b62a70e4ad6992c9e****
Autorun
  • HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WLM\\
Mutex
  • PSMwexeoqsjrvbbl
  • fzlk
C&C
  • web.bacguarp.com
  • web.zuesinfo.com
Agent Name
    URL String
      PDB String
      • d:\spambuster\src\release\TMAS_WLMMon.pdb

      Malware Behavior Graph



      ---------- 已转发邮件 ----------
      发件人: 律师陈宝成 <hnlawyeroffice@yeah.net>
      日期: 2013年11月4日下午4:23
      主题: 请支援民主斗士颜伯钧
      收件人: 周曙光 <zuola.com@gmail.com>


      颜伯钧先生现因官员财产公示在国内流亡,现在经济窘迫,生活困难,如你方便请帮助他度过难关:
      中国农业银行甘肃省靖远县支行;户名:孙梅;    卡号:6228481226072149867
      欢迎转发并扩散!


      2013年9月16日星期一

      公民联署志愿者收到来自政府资助的攻击邮件


      收到针对此次签名联署活动的攻击,我们有理由相信这是政府资助的攻击,未必是政府的公务执行此攻击,攻击者会尝试得到密码后卖给政府。

      邮件中冒充GOOGLE帐户安全提醒,要求输入密码。这是密码钓鱼,针对一般志愿者也许就造成密码泄露了,所以我觉得有必要公布, 让更多人有防范意识。



      下面的源代码中显示,会把密码提交到

      http://www.09dg123.com/ads/img.asp?a=s&amp;b=c&amp;id=af0e72578b20cb7f690d1141117aecec

      2013年6月3日星期一

      收到一封包含Exploit.D-Encrypted.Gen病毒的excel邮件

      心语收到一封病毒邮件,来自"Da jiyuan" <djy.2012.editor@gmail.com>日期:2013-6-3 下午5:29,她转发给我,我下载附件中的2013(1-6)reports.xls,然后上传到virustotal.com 检查出Exploit.D-Encrypted.Gen病毒。
      以下是virustotal的分析结果的链接:

      2013年5月23日星期四

      另一封钓鱼攻击邮件


      
      
      这个攻击仍然是用假的email界面来骗密码: http://mcbud.com.ua/wp-admin/gmal.htm
      
      
      
      
      下面是邮件源代码:
      
      
      Delivered-To: zuola.com@gmail.com
      Received: by 10.220.93.69 with SMTP id u5csp22318vcm;
              Wed, 22 May 2013 17:03:21 -0700 (PDT)
      X-Received: by 10.224.214.134 with SMTP id ha6mr9314238qab.77.1369267401151;
              Wed, 22 May 2013 17:03:21 -0700 (PDT)
      Return-Path: <lindahinson@ptd.net>
      Received: from mtaz1.mailnet.ptd.net (mtaz1.mailnet.ptd.net. [204.186.29.65])
              by mx.google.com with ESMTP id i6si3435400qcj.76.2013.05.22.17.02.50
              for <multiple recipients>;
              Wed, 22 May 2013 17:03:21 -0700 (PDT)
      Received-SPF: pass (google.com: domain of lindahinson@ptd.net designates 204.186.29.65 as permitted sender) client-ip=204.186.29.65;
      Authentication-Results: mx.google.com;
             spf=pass (google.com: domain of lindahinson@ptd.net designates 204.186.29.65 as permitted sender) smtp.mail=lindahinson@ptd.net
      Received: from mb9.mailnet.ptd.net (mb9.mailnet.ptd.net [204.186.29.19])
       by mtaz1.mailnet.ptd.net (Postfix) with ESMTP id B87DC320DD5;
       Wed, 22 May 2013 20:02:36 -0400 (EDT)
      Date: Wed, 22 May 2013 20:02:37 -0400 (EDT)
      From: Gmail <lindahinson@ptd.net>
      Message-ID: <667712798.24454962.1369267357001.JavaMail.root@ptd.net>
      Subject: =?ISO-8859-1?Q?1_New_Message_From_Gmail=AE?=
      MIME-Version: 1.0
      Content-Type: multipart/alternative; 
       boundary="----=_Part_24454961_2070092835.1369267356998"
      X-Originating-IP: [41.71.190.34]
      X-Mailer: Zimbra 7.2.3_GA_2872 (ZimbraWebClient - FF3.0 (Win)/7.2.3_GA_2872)
      To: undisclosed-recipients:;
      
      ------=_Part_24454961_2070092835.1369267356998
      Content-Type: text/plain; charset=ISO-8859-1
      Content-Transfer-Encoding: quoted-printable
      
      You Have One New Message from Gmail "VIEW MESSAGE" About Gmail Media Career=
      s Legal stuff Contact us=20
      Site map Our cookies =A9 2013 Gmail Media. All rights reserved=20
      
      ------=_Part_24454961_2070092835.1369267356998
      Content-Type: text/html; charset=ISO-8859-1
      Content-Transfer-Encoding: quoted-printable
      
      <html><head><style type=3D'text/css'>p { margin: 0; }</style></head><body><=
      div style=3D'font-family: times new roman,new york,times,serif; font-size: =
      12pt; color: #000000'>You Have One New Message from Gmail&nbsp; <a href=3D"=
      http://mcbud.com.ua/wp-admin/gmal.htm">"VIEW MESSAGE"</a> About Gmail&nbsp;=
       Media Careers Legal stuff Contact us <br>
      
      
      Site map Our cookies =A9 2013 Gmail&nbsp; Media. All rights reserved<br>
      
      </div></body></html>
      ------=_Part_24454961_2070092835.1369267356998--

      周曙光的网络日志