2013年6月3日星期一

收到一封包含Exploit.D-Encrypted.Gen病毒的excel邮件

心语收到一封病毒邮件,来自"Da jiyuan" <djy.2012.editor@gmail.com>日期:2013-6-3 下午5:29,她转发给我,我下载附件中的2013(1-6)reports.xls,然后上传到virustotal.com 检查出Exploit.D-Encrypted.Gen病毒。
以下是virustotal的分析结果的链接:


以下的邮件的截图:

邮件中的附件我上传到 file.zuo.la 了
欢迎安全研究人员研究此邮件病毒的运行方式。
最近的攻击邮件似乎都被GOOGLE云端识别出来了,通常都会有以下提示,即使邮件是转发的:
请谨慎对待此邮件。因为类似的邮件曾用于窃取用户的个人信息。除非您信任发件人,否则请勿点击链接或回复邮件并提供个人信息。  了解详情

邮件的原始代码没有,我还没有教心语如何保存邮件原始代码呢。请心语看下面的截图:

点击上图中的“显示原始邮件”就会在新窗口中打开邮件原始代码,然后另存为txt就把邮件转存下来了,要是另存为.eml就能被outlook直接打开了,这原始邮件通常不方便读,附件被用base64加密了,但原始邮件里有许多信息,如来源IP,使用的邮件工具,这些信息可以作为蛛丝马迹用于鉴定来源。

没有评论:

发表评论

周曙光的网络日志