趨勢科技毒賣新聞
趨勢科技病毒分析師Loucif Kharouni：
在查看一整天收到的垃圾郵件時，有一封要我點一下圖片觀看更多色情圖片的電子郵件令我十分好奇

點一下這張圖片之後，便會下載 hxxp://rusdiam.com/1.exe，事實上這是目前已被定義為 TROJ_AGENT.HRC 的惡意檔案。
取得這個檔案之後，我又對這個網站的首頁上有哪些內容感到很好奇。
於是我就在瀏覽器中輸入 hxxp://rusdiam.com，我的電腦隨即遭載入記憶體中的惡意程式所感染。但是這個網站目前已經無法連線。
我決定仔細查看首頁的原始碼，原始碼中包含 2 段指令碼，會將瀏覽者轉向 2 個不同的網址：

我便從這 2 個網址開始著手調查。
從 hxxp://buytraffic.cn/in.cgi?11 這個網址可以取得一個檔名為 count.php 的檔案，其中所含的指令碼會將瀏覽者轉向：
hxxp://193.109.163.179/exp/getexe.php?status=1&ip=81.249.55.218&os=6&browsers=1&country=FR&ref=buytraffic.cn
只要按下這個連結，便會下載一個隨機命名的 update04xxxx.exe 檔案，其中的 xxx 是隨機挑選的數字。這個連結還會取得一些其他的資訊用以提供統計數據。您可以看到，其中有我測試時使用的 IP 位址，此外它還會記錄我使用的瀏覽器，以及作業系統所使用的語言等。
根據之前的幾次經驗，我往往會嘗試對網址動一下手腳，看看會不會有新的發現。
這一次也不例外，我稍微變更了一下網址：
hxxp://193.109.163.179/exp/getexe.php?status=1&ip=81.249.55.218&os=6&browsers=1&country=FR&ref=buytraffic.cn
一開始我試著輸入：
hxxp://193.109.163.179/exp/getexe.php?
這一次我也被詢問是否要下載一個名為 update04xxxx.exe 的檔案。這項發現令我更好奇，更有興趣繼續追查下去。
第二次我輸入以下這個網址：
hxxp://193.109.163.179/exp/
或許您和我一樣驚訝，我竟然會進入這裡。所有元件所在的資料夾，像是惡意網頁、惡意檔案、統計數據網頁等，資料夾中充滿了各種指令檔。
當我嘗試尋找惡意檔案時，我也有一些意外的發現；我找到 1 個檔名為 file.exe 的檔案，每次當我嘗試下載 getexe.php 這個檔案時，它都會強制下載 "file.exe"，只是每次的檔名都不相同。
除此之外，其中最有趣的就是 stats 連結。只要按下這個連結，便會顯示以下這個 Web 主控台：

此時我已進入 NoName Pack 的管理主控台。接下來只要設法登入即可。
隨便試了幾組登入名稱/密碼之後，我就順利登入了：

您可以看到使用的瀏覽器、作業系統以及所在國家等資訊，而轉介者 (referrer) 指的是瀏覽者從何處被轉向這裡。試過幾個網站之後，我取得了許多惡意程式，以下就是其中一個網站的檔案列表：

2.dllb [PAK_Generic.001]
b138.exe [TROJ_DLOADER.HBK]
BraveSentry\BraveSentry.exe [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry0.dll [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry2.dll [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry3.dll [ADW_BRAVESENTR.N]
BraveSentry\Uninstall.exe [SPYW_BRAVSENT.A]
diperto70a0-3d69.sys [RTKT_NUWAR.UY]
dllgh8jkd1q2.exe [PAK_Generic.001]
JavaCore\JavaCore.exe [ADW_INSIDER]
maxpaynow.game [TROJ_TINY.FB]
maxpaynowti.exe [DIAL_RAS.JS]


您或許會注意到它會在瀏覽者的電腦上安裝一套名為 Brave Sentry 的流氓防毒產品。