童言无忌-Tabooless Babble: 调戏网狗特务实录

2014年6月17日星期二

调戏网狗特务实录

在 Skype 遇到一个网狗特务 chexqster 昵称"野火"，自己标注为在广东佛山，自称名叫"车向前"。

注意：共匪网狗特务通过加入 Skype 聊天室刺探异议人士群体，并到处发送木马病毒文件控制你的电脑。

附图是一个共匪网狗特务试图欺诈的例子，其发送的文件是个木马病毒。

它又给我一个木马病毒文件说是"杀毒扫描"软件或者"浏览器更新"之类，试图欺诈我运行，下一步是要你停掉杀毒软件，

它又给我发不同版本的木马病毒

我故意装作技术小白，给他一个截屏的病毒警告，拖它继续浪费时间。;)

它又给你发另一个版本的木马病毒文件。

网狗特务被我调戏得没办法，不吱声了。;) 它看到我说我的系统是苹果，就没下文了，可见网狗特务还比较低级，大部分针对微软系统攻击。

调戏网狗至少有两个好处：

1. 研究其行为特征和诈骗手法，获取木马病毒标本加以研究。
2. 浪费其人力资源至少可以令其少害一些人。

如果他再给我几个苹果系统的木马病毒研究一下就好了。我顺手获得了网购特务发送的4份有小差异的木马病毒标本。

MD5	Bytes	文件名（附加后缀 _trojan 以标注和防止误执行）	查毒报告
8844FA4EEE700BA0C3BFEE08EFCFD583	671,744	winupdate.exe_trojan	https://www.virustotal.com/zh-cn/file/aaf83b10ba32fbcf9fedb57f361e0633d3ec85f2749bbf10f193ba4c6bbcd28d/analysis/1403002554/
EF35F9253D943F1DA1C2FBDABD9AF5D0	671,744	winupdate.exe_trojan2	https://www.virustotal.com/zh-cn/file/bfcdc3e66f343a5d944813cea9e8bb5b10e1fed53b406a966127832696e6cce3/analysis/1403003440/
38F5EF582D766C717D1FBA9754D88DB6	637,323	群体性事件操作指南.chm_trojan	https://www.virustotal.com/zh-cn/file/53b8fe2be41564df2d27ddceffc36939319d30c5d19de8fb0107719f700301fa/analysis/1403001826/
240C1EE9965BBDC1A38056D549B81FFC	637,271	群体性事件操作指南.chm_trojan2	https://www.virustotal.com/zh-cn/file/e019b4a25f7f48ed81976c4bd7f7b404313f68535241b88ec39cb9977e5d3eca/analysis/1403003230/

注意，即便经过 virustotal 查毒报告无毒的，也依然可能有毒！而有时候也有些没有病毒的文件误报有毒。所以只能作为参考。但如果报告有毒，必须谨慎对待，不要轻易打开。

最好将网上传送的可疑文件，后缀名附加 _unsafe 以防止自己或别人意外双击运行木马病毒。

用网站[1]查询 Skype 用户的IP地址，确认其来源地址是这个 121.54.168.102 位于香港，但是它假冒是在广东佛山。
可见共匪网络特务在香港有一个重要据点，很可能在香港新华社、中联办或共军驻港军营内进行这类特务活动。

用 ipnetinfo [2] 可以查到该地址的所属网段注册信息：

% [whois.apnic.net]
inetnum:        121.54.168.0 - 121.54.168.255
netname:        SNW-HK
descr:          Sun Network (Hong Kong) Limited
descr:          Internet Service Provider in Hong Kong
country:        HK
admin-c:        KC1174-AP
tech-c:         TW291-AP
status:         ALLOCATED NON-PORTABLE
mnt-by:         MAINT-HK-SNW
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        Hotline: (852) 3611 0789
remarks:        Fax    : (852) 2125 0455
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        IDC@SNW.HK 20080228
source:         APNIC

person:         Ken Chan
nic-hdl:        KC1174-AP
remarks:        Sun Network (Hong Kong) Limited
remarks:        Internet Service Provider in Hong Kong
e-mail:         iprs.snl@gmail.com
address:        7/F, TRANS ASIA CTR
address:        18 KIN HONG ST, KWAI CHUNG
country:        HK
phone:          +852 2125 0455
mnt-by:         MAINT-HK-SNW
changed:        iprs.snl@gmail.com 20100819
abuse-mailbox: iprs.snl@gmail.com
source:         APNIC

person:         Trident Wong
address:        Unit B1, G/F, 20 NG FONG ST
                SAN PO KONG, KOWLOON
country:        HK
phone:          +852-36110789
e-mail:         IPRS.SNL@GMAIL.COM
nic-hdl:        TW291-AP
mnt-by:         MAINT-HK-SUN
changed:        IPRS.SNL@GMAIL.COM 20061004
abuse-mailbox: IPRS.SNL@GMAIL.COM
source:         APNIC

如果查询 Skype 用户的IP地址的网站不可用，也可以正在和网狗特务对话时，用 Sysinternal TCPview [5] 查看 Skype 进程的当前网络连接地址，逐一排除也能查出网狗特务来源地址（但也可能是他们用的代理服务器的地址），网络活动连接信息类似如下：

Skype.exe   7080   TCP   Dell   http   Dell   0   LISTENING
Skype.exe   7080   TCP   Dell   https   Dell   0   LISTENING
Skype.exe   7080   TCP   dell   49444   168.63.97.253   https   ESTABLISHED 微软
Skype.exe   7080   TCP   Dell   52646   Dell   0   LISTENING   28   2,144   24   623
Skype.exe   7080   TCP   dell   52646   121.54.168.102   2874   ESTABLISHED
Skype.exe   7080   TCP   dell   52646   222.82.231.249   35428   ESTABLISHED
Skype.exe   7080   TCP   dell   57031   trouterproxy.i.trouter.io   40034   ESTABLISHED 微软
Skype.exe   7080   TCP   dell   57037   65.54.167.9   12350   ESTABLISHED 微软
Skype.exe   7080   TCP   dell   59339   db3msgr5012511.gateway.messenger.live.com   https   ESTABLISHED           2   879
Skype.exe   7080   UDP   Dell   https   *   *
Skype.exe   7080   UDP   Dell   52646   *   *
Skype.exe   7080   UDP   Dell   64456   *   *       1   1   1   1
Skype.exe   7080   UDP   Dell   64457   *   *

为防止以后忘记它是网狗特务，在 Skype 联系人中将其标注为网狗