“灰鸽子”罪恶勾当转入地下，假冒社区管理员玩儿DM邮件直投

2007-04-13 17:42:07

今天上班就收到51CTO一位朋友的邮件，说有病毒假冒天通苑社区管理员的名义传播，业主们本来希望通过这件事把放木马的人找到的，结果却被一家杀毒厂商当作新闻抢先发出来了。（严重BS该厂商只顾自己痛快，不管社会责任的行为，在该厂商发布的新闻中还说自己可以轻松搞定这个病毒，结果是根本查不到，又一次忽悠了用户，再次严重BS该厂商）

病毒邮件原文如下：

亲爱的天通苑业主您好：
非常感谢您一直以来对天通苑论坛的支持和厚爱，使我们的论坛更加快速的发展和壮大。在2007年新春之际，天通苑为了感谢您的支持，特别整理了自开坛以来，所有会员的联络资料，并形成了一份表格，这份表格可以方便会员之间的交友查询，业主邻里之间的亲密联络....。另，表格里面都是平时论坛里可以公开的会员资料，并没有涉及关于业主及会员的隐私的信息。见附件（天通苑2007业主联络表）。
祝全体业主和会员：全家幸福！万事如意！



                         天通苑论坛管理员
                             20070412

欢迎访问天通苑，网址：http://www.tty.com.cn/bbs/

邮件内含附件:天通苑2007业主联络表.rar(438.49K)

和这个朋友多次邮件沟通，拿到这只灰鸽子样本文件。解压天通苑2007业主联络表.rar到桌面，以我的经验，一眼就知道是鸽子。立即把这个样本发给了珠海开发灰鸽子通杀的兄弟。

试了下毒霸扫描，没有报告。再用dubatools_huigezi.com 加路径的方式检测这个木马，也没有报告。最后试一下执行后，会不会被毒霸的数据流查到。执行木马，用毒霸查内存，没有报告。看来这个样本已经做好了针对毒霸的免杀。这也是我最近拿到的唯一一只能过毒霸主程序、数据流和毒霸灰鸽子专杀的免杀版灰鸽子。由此证明，灰鸽子们不是关张了，而是继续在地下干着罪恶的勾当。

执行这个木马后，立即打开两个窗口：IE和WORD
注意看：IE打开《家住天通苑》业主论坛，地址却是本地的，根本没有访问真正的天通苑论坛，注意看清楚的应该知道是上当了。