Document2 病毒附件求助

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3146 天前的主题，其中的信息可能已经有所发展或是发生改变。

情况： Gmail apps 账户桌面只在 Ubuntu 下登录手机端使用 android cloudmagic 客户端授权 cloudgmgic gmail 权限 chrome 完整权限手机有 root 但是一直完全禁用 su 权限。

症状：发件人收件人都是我的账户账户有两个别名都被用作发病毒邮件在 sent mail 列表里面也就是说邮件是通过登录以后发送的并不是伪造发件人

其他说明：几天前收到这个的时候没太在意以为是被伪造了发件人出于好奇把附件下载下来了解压以后是个 JS 脚本因为知道很可能是病毒所以并没有执行过。几天期使用杀毒软件扫描了这个文件没有报毒 Gmail 服务器也没有提示是病毒附件可以被下载这两天有连续收到多次这个邮件今天登录了网页端发现 Gmail 服务器报了病毒了。而且这个邮件出现在我的 sent mail 列表里面

所以我觉得很有可能是我的手机或者电脑中招了。但是不知道问题出在哪儿有没有人遇到同样情况？

发件人

Gmail

病毒

邮件

29 条回复 • 2016-03-27 18:58:43 +08:00

qq316107934

2016-03-26 19:07:34 +08:00

把 js 发出来被

lavasing

2016-03-26 19:13:51 +08:00 via Android

我的 inbox.com 的邮箱也收到了名为 Document 2.zip 的文件
在 qq 邮箱上提示有毒，解压出来是个 js 文件
代码在 http://pastebin.com/RsP2iuyb

lavasing

2016-03-26 19:17:15 +08:00 via Android

@qq316107934 见二楼

xyu_ovi

2016-03-26 19:22:28 +08:00

https://link.getsync.com/#f=share%20public&sz=94E2&t=1&s=HK5VPBJQIJ6HMKLL4Y3LTBZAVFFND5HI&i=CLWIFQWKF6EATV6O33NXYEOALHOY6DDEC&e=1459250422&v=2.3

病毒不太好传网盘就用 btsync 分享把

xyu_ovi

2016-03-26 19:23:49 +08:00

@lavasing 其实问题是邮件是从我的账户发出去的。并不是伪造发件人所以我才担心的

qq316107934

2016-03-26 19:35:50 +08:00

@xyu_ovi js 混淆了，一会儿回寝室开电脑看下，看到倒数第二行貌似下载了一个 exe 文件来执行啊。

VmuTargh

2016-03-26 19:37:29 +08:00

@lavasing 试试发我 yandex: [email protected]

lavasing

2016-03-26 20:02:21 +08:00 via Android

@VmuTargh 不方便发呀。。。
发的时候直接 virus message discarded 了。

xd547

2016-03-26 20:08:49 +08:00

我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。

qq316107934

2016-03-26 20:13:17 +08:00

是个 Downloader ，楼主最终应该是中了 exe 病毒了。

xd547

2016-03-26 20:27:27 +08:00

我这边用的是 google 的域名邮箱 sent mail 里面没有发件记录。

xd547

2016-03-26 20:29:11 +08:00

收件的邮箱地址是 xx[at]我的域名。不是 rainysummer[at]我的域名。只有一个用户，设置了代收。

xd547

2016-03-26 20:30:55 +08:00

我这边还开启了两步验证。

messyidea

2016-03-26 20:32:50 +08:00

加密压缩应该查不出来病毒吧。

xd547

2016-03-26 20:33:36 +08:00

“您尚未授予任何应用或网站访问您的 Google 帐户。”

messyidea

2016-03-26 20:35:02 +08:00

不好意思，我貌似理解错了（

qq316107934

2016-03-26 20:35:34 +08:00

@xyu_ovi lrAXrUK 为 ActiveXObject 对象，之后病毒分别调用了 WScript.Shell,MSXML2.XMLHTTP 和 ADODB.Stream 来下载和保存，执行病毒。

xd547

2016-03-26 20:43:51 +08:00

看了下邮件头
Received: from HP ([113.188.178.237])
by mx.google.com with ESMTP id iz10si3874325obb.24.2016.03.24.08.58.13
for <[my mail address]>;

xd547

2016-03-26 20:45:34 +08:00

我这边看的结果应该是伪造发件人。并未打开 js 执行过。

qq316107934

2016-03-26 20:51:56 +08:00

@qq316107934 病毒下载的文件是 http://palahasit.com/system/logs/98h7b66gb.exe 但很明显现在已经被其他人（或者作者？）和谐了，无法进行进一步分析。

qq316107934

2016-03-26 20:54:21 +08:00

@xyu_ovi 看 EXE 里的留言，应该是一个加密勒索型病毒，楼主保重啊！

xyu_ovi

2016-03-26 21:06:36 +08:00

@qq316107934 并没有执行 JS 文件

evilangel

2016-03-27 13:19:48 +08:00

我也收到了自己发给自己的 Document2 附件的邮件被 Gmail 标记为 spam 病毒。认为是伪造发件人发送的直接就给删了，现在楼主说不是伪造的就奇怪了。一直用的 Mac 也没乱装东西，手机 iOS 也没越狱，如果不是伪造的发件人又是哪来的呢。

Slienc7

2016-03-27 14:12:41 +08:00

方便的话发一个完整邮件原始文件看看。

Slienc7

2016-03-27 14:15:57 +08:00

@evilangel @lavasing @xyu_ovi @xd547
近期是否新增 Chrome 扩展等？

lavasing

2016-03-27 14:42:44 +08:00 via Android

@xgowex 近期没有下载什么扩展
我的邮件里就一个附件，没有正文。代码在二楼

xd547

2016-03-27 15:08:52 +08:00 via iPhone

@xgowex 是要查下扩展

evilangel

2016-03-27 17:20:56 +08:00

@xgowex 最近没有装什么扩展。。

xd547

2016-03-27 18:58:43 +08:00

@xgowex 刚刚查了下，没有什么特别的扩展，都是开发相关的。

Document2 病毒附件 求助

Document2 病毒附件求助