病毒犯罪集团冒充美国国税局（IRS）给我来信（有样本）

绅博周幸

今天从我yahoo邮箱收到来自美国国税局的信，说我的报税资料不全要我补材料，结果附件居然是exe文档，这个就让我警惕，还好金山毒霸下载保护直接封杀了，看来金山在实战中还是接受住了考验，对国外新出的未知病毒样本也很给力呢。

以下是病毒犯罪集团冒充IRS的全文以及样本

Department of Treasury Internal Revenue Source

Important information about your tax return

We are unable to process your tax return

We recived your tax return. However, we are unable to process the return as field.


Our records indicate that the person identifiedas the primary taxpayer or spouse on the tax return did not provided all the required documents shown on the tax form. Our records are based on information received from the Social Security Administration.

Based on this information, the tax account for the individual has been locked
What you need to do

Print out the attached notification and list of missing documents, fill it in, add the documents and send the following information to the adress shown in the attached notification.

List of required documents:

1. A copy of this letter

2. Notification letter

3. A photocopy of valid U.S. Federal or State Government issued identification.


Keep this notice for your records. If you need assistance, please don't hesitate to contact us

PS：现在的犯罪集团太猖狂了哦，居然敢冒充国税局来传播病毒，yahoo上面的诺顿防毒居然扫不出这个病毒样本。 赛门铁克这回丢人了

绅博周幸

还好国际上几大知名厂商都即时响应把这个样本封杀了，金山这回真赞，及时挡住了这个未知样本

下面是VT上的最新扫描结果，已经有20家可以查杀了，之前几小时我扫的时候只有12家可以查杀

http://www.virustotal.com/file-s ... c2f826b6-1309456123

saga3721

“TR/Spy.29696.65 [trojan]”

小飞侠.net

可疑文件扫描报告┊2011-4-24 8:00┊

┊360杀毒 v2.0.1.2055┊
扫描选项--指定目录扫描
----------------------
使用QVM启发式引擎（v1.2011.6.7）：是
升级设置：定时升级，每天--16：24 升级Avira AntiVir本地病毒库
多引擎设置：禁用360云查杀引擎
=======================
BitDefender┊Ikarus
           网页版

       Windows 7 Ultimate┊Google Chrome 12┊7-Zip┊7z
----------------------
文件名: E:\mp4\NewDoc\014\IRS document.zip
文件大小: 12729 字节 (12.43 KB)
修改日期: 2011-07-01 06:08
MD5: 3017a752b5c7f5271d617738ac87e428
SHA1: f29640c05451fda057e563edc95b55cfbe54ac6d
SHA256: 621747f0eba91d19bd12c918d4bd60dde67e0e6ca68993aaad627334c2f826b6
CRC32: 51a788a1
----------------------
360杀毒2：
病毒扫描结果
----------------------
E:\mp4\NewDoc\014\IRS document.zip=>IRS document.exe        恶意程序(Malware.QVM20.Gen)        未处理

TR/Spy.29696.65
=======================

BitDefender：Gen:Trojan.Heur.FU.bqW@aKYJplpi
----------------------

Ikarus---Gen.Trojan.Heur
----------------------


=======================
本地病毒库最后更新时间：2011/7/1 6:13

在线多引擎扫描：
Status:  Scan finished. 11 out of 20 scanners reported malware.
ht~tp://virusscan.jotti.org/en/scanresult/7e9277640c6ba9aed568d5b60bbe6a210915d804

黑猫、警长

金山卫士拦截

IOOOOI

还没开始下载，ESS就报毒了。

jayavira

ess kill

D:\下载文件夹\IRS document.zip > ZIP > IRS document.exe - Win32/TrojanDownloader.Chepvil.A 特洛伊木马 的变种

619875192

卡巴  KILL

智能查杀: 完成时间：<1 分钟之前   (事件：5，对象：2，时间：00:00:01)       
2011-7-1 7:31:02        检测到威胁: Trojan-Downloader.Win32.FraudLoad.zida                C:\Documents and Settings\Administrator\桌面\IRS document.zip/IRS document.exe               
2011-7-1 7:31:03        未处理: Trojan-Downloader.Win32.FraudLoad.zida                C:\Documents and Settings\Administrator\桌面\IRS document.zip/IRS document.exe        稍后处理       
2011-7-1 7:31:03        检测到威胁: Trojan-Downloader.Win32.FraudLoad.zida                C:\Documents and Settings\Administrator\桌面\IRS document.zip/IRS document.exe               
2011-7-1 7:31:03        已删除: Trojan-Downloader.Win32.FraudLoad.zida                C:\Documents and Settings\Administrator\桌面\IRS document.zip/IRS document.exe               

wakin

AVG果断阻止

一晴空

一般我是不会看那些陌生邮件的附件的，从来没有，即是它不是病毒也不会看NOD32 kill，2011-7-1 8:26:45        HTTP 过滤器        文件        http://bbs.kafan.cn/forum.php?mo ... DM4NzYzNHwxMDE5MDg5        Win32/TrojanDownloader.Chepvil.A 特洛伊木马 的变种        连接中断 - 已隔离        A4967D719921441\Administrator        通过应用程序访问 web 时检测到威胁: C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\CHROME.EXE.
并已提交至NOD32实验室进行分析