目录导航
我的zipdump.py工具分析日记条目“ Reader Malware: ZIP/HTML Phish ”ZIP 文件的输出有点奇怪:
zipdump.py下载地址:
yunzhongzhuan.com/#sharefile=CaNDuCvh_15067
文件 2 分布在 2 行上:这是因为它包含一个回车和一个换行控制字符:
当我修改 zipdump 工具以转义控制字符时,输出如下所示:
我认为这个格式错误的文件名(文件名不应该包含 CR 或 NL 字符)是一种误导用户的技术,例如,用户不会看到 .html 扩展名,因为它位于另一行。
但事实并非如此。在 Windows 10 中,如果没有安装任何存档实用程序,您甚至看不到 HTML 文件:
您可以查看 PNG 文件 (i.png),但不能查看 HTML 文件:
使用 WinZIP,您会收到警告:
并且未列出 HTML 文件:
使用 WinRAR,您可以看到 HTML 文件:
还有 7-Zip:
结论:根据您的存档实用程序,您可能会看到或看不到 HTML 文件。但是当您看到 HTML 文件时,您会看到完整的文件名,就好像 CR 和 NL 字符不存在一样。
所以添加这些特殊字符的目的,大概不是为了误导用户。
我认为包含这些字符是为了绕过将档案解压缩到临时文件夹进行扫描的电子邮件检测系统。解压实用程序可能会在文件名中嵌入 CR 和 NL 字符时遇到问题,只需跳过该文件即可。然后就不会被扫描了。
或者扫描仪可能在处理文件名中嵌入的 CR 和 NL 字符时遇到问题。
实例
最近朋友收到一个钓鱼的压缩包,乍一看没什么特别的.
叫做张娅的简历,解压密码是zhangya
用winrar打开是这样的:
可以看到里面有dll文件和exe文件[警惕!]
然后在Windows下解压出来看看.
解压出来发现dll文件和exe文件,还有word文件并不存在,只有一个快捷方式.
而且大小只有1kb,震惊! ?
隐藏文件也已经显示,依然看不到
然而看一下整个文件夹的大小却是4个文件,1.64MB
所以,文件去哪里了呢?
接下来上Linux,我就不信找不到你.
现在真凶出来了.
vs扫一扫,然后提交给各大杀毒软件厂商……………….:
https://www.virustotal.com/gui/file/6..bc3
病毒文件样本:
大佬们来分析一波.
yunzhongzhuan.com/#sharefile=1HbfGtt9_15091
解压密码: zhangya
此文件为病毒文件,非专业人士切勿下载运行.