OK,趁著在学校没事
而且电脑有装还原卡可以随便搞
就抱一台过来试试了
(电脑教室我在管，所以不会造成他人困扰)
环境是Win7旗舰x64
档案因为原原PO提供的连结被删了
所以我使用的是朋友另外传的
病毒载点(MEGA)，下载后请慎用
hxxp://goo.gl/lljVZd
首先下载解压缩后会看到两个JS档
这两个JS档案内容不一样，但结果是一样的
一开始先断网执行JS档
http://i.imgur.com/Cb2d40n.jpg
会跳错误，Google了下是说没接网络
那就大胆一点接网络执行吧
http://i.imgur.com/1KjGz8Z.jpg
居然说不相容，看来没得看怎么发作的了
不过既然有路径，就来看看到底长怎么样
http://i.imgur.com/0iJq16F.jpg
原来是会自动下载一个乱码的exe档
不过可惜没办法执行....
既然是从网络抓来执行的
那就用Wireshark看一下连到哪里好了
http://i.imgur.com/DIwQHlQ.jpg
是连到一个网站
两个JS都是连到这个网址
hxxp://hkhc -shop.lms .hk/system/l ogs/87yg7g
http://i.imgur.com/jhDmVxj.jpg
不过直接用浏览器开却是404
http://i.imgur.com/2vsq5O2.jpg
先这样吧，有空再去弄其他电脑看能不能执行
记得之前信箱也收到一堆类似的，不过可惜被系统砍掉了...
有机会再收到再做测试
另外我发现微软牌的MSE可以有效侦测这个病毒
这是先载好未解压缩改附档名为.zipx后装MSE让它扫
http://i.imgur.com/hH8QKtp.jpg
然后又再从MEGA抓了一次
Chrome还没载好就先被MSE砍掉了
http://i.imgur.com/kEcCaUK.jpg
结论是微软的MSE防得了这个病毒!!

发作桌面会有txt内容繁体中文 还有硬盘狂读写很lag

一下载完就被NOD32(8.0.319.1)挡下来，JS木马

http://i.imgur.com/42v1ZyO.jpg玩一下楼上给的网址，哇好聪明喔

这种AES的发作马上拔电源还有救

好想下载来玩 QQTrojan木马，会被mse及卡巴侦测到，不过我怀疑这不是主流的勒索软件"木马"

刚刚发现传上dropbox 然后用google短网址缩址过没几分钟 短网址就不能用了，好像被google侦测到有病毒....我还压缩之后上密码耶..那个 js 看不懂在干嘛，有人有兴趣吗？ @@