调戏网狗特务实录

在 Skype 遇到一个网狗特务 chexqster 昵称“野火”,自己标注为在广东佛山,自称名叫“车向前”。

注意:共匪网狗特务通过加入 Skype 聊天室刺探异议人士群体,并到处发送木马病毒文件控制你的电脑。

附图是一个共匪网狗特务试图欺诈的例子,其发送的文件是个木马病毒。

它又给我一个木马病毒文件说是“杀毒扫描”软件或者“浏览器更新”之类,试图欺诈我运行,下一步是要你停掉杀毒软件,

它又给我发不同版本的木马病毒

我故意装作技术小白,给他一个截屏的病毒警告,拖它继续浪费时间。;)

它又给你发另一个版本的木马病毒文件。

网狗特务被我调戏得没办法,不吱声了。;) 它看到我说我的系统是苹果,就没下文了,可见网狗特务还比较低级,大部分针对微软系统攻击。

调戏网狗至少有两个好处:

1. 研究其行为特征和诈骗手法,获取木马病毒标本加以研究。
2. 浪费其人力资源至少可以令其少害一些人。

如果他再给我几个苹果系统的木马病毒研究一下就好了。我顺手获得了网购特务发送的4份有小差异的木马病毒标本。

MD5 Bytes 文件名(附加后缀 _trojan 以标注和防止误执行) 查毒报告
8844FA4EEE700BA0C3BFEE08EFCFD583 671,744 winupdate.exe_trojan https://www.virustotal.com/zh-cn/file/aaf83b10ba32fbcf9fedb57f361e0633d3ec85f2749bbf10f193ba4c6bbcd28d/analysis/1403002554/
EF35F9253D943F1DA1C2FBDABD9AF5D0 671,744 winupdate.exe_trojan2 https://www.virustotal.com/zh-cn/file/bfcdc3e66f343a5d944813cea9e8bb5b10e1fed53b406a966127832696e6cce3/analysis/1403003440/
38F5EF582D766C717D1FBA9754D88DB6 637,323 群体性事件操作指南.chm_trojan https://www.virustotal.com/zh-cn/file/53b8fe2be41564df2d27ddceffc36939319d30c5d19de8fb0107719f700301fa/analysis/1403001826/
240C1EE9965BBDC1A38056D549B81FFC 637,271 群体性事件操作指南.chm_trojan2 https://www.virustotal.com/zh-cn/file/e019b4a25f7f48ed81976c4bd7f7b404313f68535241b88ec39cb9977e5d3eca/analysis/1403003230/

注意,即便经过 virustotal 查毒报告无毒的,也依然可能有毒!而有时候也有些没有病毒的文件误报有毒。所以只能作为参考。但如果报告有毒,必须谨慎对待,不要轻易打开。

最好将网上传送的可疑文件,后缀名附加 _unsafe 以防止自己或别人意外双击运行木马病毒。

用网站[1]查询 Skype 用户的IP地址,确认其来源地址是这个 121.54.168.102 位于香港,但是它假冒是在广东佛山。
可见共匪网络特务在香港有一个重要据点,很可能在香港新华社、中联办或共军驻港军营内进行这类特务活动。

用 ipnetinfo [2] 可以查到该地址的所属网段注册信息:

% [whois.apnic.net]
inetnum: 121.54.168.0 – 121.54.168.255
netname: SNW-HK
descr: Sun Network (Hong Kong) Limited
descr: Internet Service Provider in Hong Kong
country: HK
admin-c: KC1174-AP
tech-c: TW291-AP
status: ALLOCATED NON-PORTABLE
mnt-by: MAINT-HK-SNW
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: Hotline: (852) 3611 0789
remarks: Fax : (852) 2125 0455
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: IDC 20080228
source: APNIC

person: Ken Chan
nic-hdl: KC1174-AP
remarks: Sun Network (Hong Kong) Limited
remarks: Internet Service Provider in Hong Kong
e-mail: iprs.snl
address: 7/F, TRANS ASIA CTR
address: 18 KIN HONG ST, KWAI CHUNG
country: HK
phone: +852 2125 0455
mnt-by: MAINT-HK-SNW
changed: iprs.snl 20100819
abuse-mailbox: iprs.snl
source: APNIC

person: Trident Wong
address: Unit B1, G/F, 20 NG FONG ST
SAN PO KONG, KOWLOON
country: HK
phone: +852-36110789
e-mail: IPRS.SNL
nic-hdl: TW291-AP
mnt-by: MAINT-HK-SUN
changed: IPRS.SNL 20061004
abuse-mailbox: IPRS.SNL
source: APNIC

如果查询 Skype 用户的IP地址的网站不可用,也可以正在和网狗特务对话时,用 Sysinternal TCPview [5] 查看 Skype 进程的当前网络连接地址,逐一排除也能查出网狗特务来源地址(但也可能是他们用的代理服务器的地址),网络活动连接信息类似如下:

Skype.exe 7080 TCP Dell http Dell 0 LISTENING
Skype.exe 7080 TCP Dell https Dell 0 LISTENING
Skype.exe 7080 TCP dell 49444 168.63.97.253 https ESTABLISHED 微软
Skype.exe 7080 TCP Dell 52646 Dell 0 LISTENING 28 2,144 24 623
Skype.exe 7080 TCP dell 52646 121.54.168.102 2874 ESTABLISHED
Skype.exe 7080 TCP dell 52646 222.82.231.249 35428 ESTABLISHED
Skype.exe 7080 TCP dell 57031 trouterproxy.i.trouter.io 40034 ESTABLISHED 微软
Skype.exe 7080 TCP dell 57037 65.54.167.9 12350 ESTABLISHED 微软
Skype.exe 7080 TCP dell 59339 db3msgr5012511.gateway.messenger.live.com https ESTABLISHED 2 879
Skype.exe 7080 UDP Dell https * *
Skype.exe 7080 UDP Dell 52646 * *
Skype.exe 7080 UDP Dell 64456 * * 1 1 1 1
Skype.exe 7080 UDP Dell 64457 * *

为防止以后忘记它是网狗特务,在 Skype 联系人中将其标注为网狗

参考:

[1] How to Find the IP Address of a Skype User http://www.wikihow.com/Find-the-IP-Address-of-a-Skype-User
http://resolveme.org/index.php?do=resolve
[2] IPNetInfo : Retrieve IP Address Information from WHOIS … http://www.nirsoft.net/utils/ipnetinfo.html
[3] 调戏网狗特务实录 https://plus.google.com/101969914461424619112/posts/KgMf8E9suYP
[4] Sysinternals Suite http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
[5] Windows Sysinternals > Downloads > Networking Utilities > TCPView http://technet.microsoft.com/en-us/sysinternals/bb897437

请参考 邮件安全提示 http://goo.gl/e7gPk6 = http://lihliiposterous.wordpress.com/2010/06/10/%E9%82%AE%E4%BB%B6%E5%AE%89%E5%85%A8%E6%8F%90%E7%A4%BA/
可疑邮件请保存邮件源码压缩后发送到 wlaqgw 提供分析和处理建议。发空白信给 wlaq-gg+subscribe 可订阅网络安全公告邮件组,得到及时的警告通知,技术咨询服务。

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s