악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다.

이번 스팸메일에 사용된 제목은 Please attention!  입니다.

아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요!

Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly.
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you,
DHL Delivery Services.

첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.

 

이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다.

위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.

 

 

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
Posted by 비회원

소포 배달을 가장한 스팸메일이 유포되고 있습니다. 해당 스팸메일은 악성 파일을 첨부하고 있으며 메일 제목은 아래와 같은 형태입니다. 


Your order has been paid! Parcel NR.[랜덤한 숫자]. 


아래 그림은 악성 파일을 첨부하여 유포되고 있는 스팸메일 수신시 캡쳐 화면이며 본문에는 Amazon이라는 유명 사이트인 것처럼 사용자를 속여 악성 파일을 다운로드 후 프린트를 할 것을 권하여 사용자가 파일을 실행하도록 유도합니다..



<Fig 1. 악성 스팸메일>


첨부된 악성 파일이 실행되면 아래 그림과 같이 XP Security Tool 2010 이라는 FakeAV가 실행이 되며 허위진단 후 치료를 위해 제품 구입 결제를 요구하며 결제  페이지로 연결되게 됩니다. 


 

<Fig 2. 악성파일 실행 시 허위진단 및 경고창, 결제 페이지>


첨부된 악성파일은 아래 그림 Fig 3.과 같이 워드 문서 아이콘으로 위장하여 사용자들에게 첨부된 파일이 워드 문서인 것처럼 인식시켜 안심하고 실행하도록 유도합니다.  해당 파일은 Dropper/Agent.57344.CY 진단명으로 V3에서 진단 및 치료가 가능합니다.


<Fig 3. 파일 확장자가 보이는 경우 악성 파일>


상기 캡쳐 화면 상에는 확장자인 exe 가 보이는 것이 보이시나요? 확장자가 exe인 것을 다운로드 한 사용자가 본다면 해당 파일을 의심할 수 있지만 아래와 같이 확장자가 보이지 않는 경우라면 exe 실행파일이 아닌 워드 문서로 오인하기 쉽습니다.

 

 <Fig 4. 파일 확장자가 보이지 않을 경우 악성 파일>


따라서, 탐색기를 실행하신 후 [도구] – [폴더옵션]에서 아래 그림처럼 ‘알려진 파일 형식의 파일 확장명 숨기기’ 옵션을 체크 해제하신 후 설정을 적용하시기를 권해드립니다.

 

<Fig 5. 확장자 확인할 수 있도록 설정하는 화면>


이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일, 소셜 네트워크 메세지 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


Posted by 비회원
Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다.

제목 : Myspace Password Reset Confirmation! Your Support
Hey ,
,
,
,
,
,
,
,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
The Myspace Team.

첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.

만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다.

허위백신으로 인한 증상 및 조치 방법 :
http://core.ahnlab.com/135



그리고 인터넷 익스플로러 실행 시 아래와 같이 키로거가 설치되어 있다는 경고 메세지와 함께 익스플로러에서 사이트로 접속 시 원하는 페이지가 나타나지 않는것을 확인할 수 있습니다.




그리고 주기적으로 아래와 같은 경고 메시지와 우측 하단의 트레이 아이콘이 표시되는 부분에 아래와 같은 경고 메세지 및 트레이 아이콘이 생성되게 됩니다.




이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

Posted by 비회원
도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다.

제목: *도메인* account notification

Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) *도메인*

위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다.

예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다.

그리고 위 스팸메일은 아래와 같은 아이콘의 첨부파일을 포함하고 있습니다.
첨부된 파일은 악성코드이므로 실행을 하지 마시기 바랍니다.



위 파일 외에 현재까지 이러한 도메인 제목이 포함된 스팸메일에 첨부된 파일명은 아래와 같습니다.
instructions.exe, setup.exe, settings.exe, open.exe

이러한 첨부된 혹은 링크로 다운로드 받은 파일을 실행할 경우 악성코드가 지속적으로 레지스트리를 수정하여 시작프로그램에 악성코드를 등록 합니다. 그리고 추가적으로 다른 사용자에게 스팸메일을 발송하여 악성코드를 전파하게 됩니다.



현재 해당 악성코드는 V3 제품군에서 아래와 같은 진단명으로 진단 및 치료가 가능합니다.

Win-Trojan/Harebot.29493.B
Win32/FakeavRootkit.B
Win-Trojan/Xema.136192.B
Win-Trojan/Fakeav.155648.F
Win-Trojan/Fakeav.224768
Win-Trojan/Fakeav.144384.D
Win-Trojan/Fakeav.182272.P
Win-Trojan/Downloader.142336.F
Win-Trojan/Katusha.200192.E
Win-Trojan/Kobcka.29492
Win32/Kucirc.worm.151040


항상 아래와 같은 사항을 준수하여 메일로 전파되는 악성코드를 미연에 예방하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



* 추가로 아래와 같은 메일도 발견되고 있으니 주의 하시기 바랍니다.

제목 : jy@*도메인* account notification
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else.
Please click on the following link (or copy & paste it into your web browser):
http://xxx.xxx/instructions.exe
(C) *도메인*


제목 : *도메인* account notification
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run this file and Follow instructions:
http://mailxxxxxxxsss.braxxxxst.com/settings.exe
(C) *도메인*

메일의 내용에 포함된 링크의 주소에서 다운로드 되는 파일 혹은 메일에 첨부된 파일은 악성코드 이므로 주의하시기 바랍니다.
Posted by 비회원


4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다.
3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다.

DHL Services. Get your parcel NR.9195
DHL Express. Please get your parcel NR.8524

DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다.

YOUR TEXT

악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요.


<Fig 1. 4월 2일 발송된 악성스팸메일들>




첨부된 악성 파일들을 다운로드하여 압축해제하면
오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게
워드 문서인 것 처럼 보이게 합니다.






각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다.


파일명 : DHL_label_5893.exe
진단명 : Dropper/Malware.59392.GC

파일명 : File.exe
진단명 : Win32/MyDoom.worm.32256



항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.








Posted by 비회원

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다.

필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다.


<Fig 1. 악성 URL로 연결되는 단축 URL이 존재하는 Twitter의 트위트 메세지>


역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다.

잠깐~~ 참고하세요 !

단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^


<Fig 2. 단축 URL 클릭 후 악성코드 유포 페이지로 연결된 화면>


ActiveX Object 에러가 발생하였다는 메세지 경고창과 함께 동영상을 보기 위해 ActiveX를 설치하라고 유도합니다.

<Fig 3. 악성코드 다운로드 유도하기 위한 허위 경고창>


역시나 우리의 기대를 저버리지 않고 다운로드 창을 띄워 파일을 다운로드 하도록 합니다. 다운로드한 파일은(inst.exe) 오른쪽 그림과 같은 파일이며 이제는 우리에게 너무나 익숙한 아이콘의 파일이 다운로드 되었습니다.


<Fig 4. 악성코드 다운로드 유도하기 위한 허위 경고창>


<Fig 5. 다운로드 된 악성파일>


다운로드한 파일을 실행하면 'Security Tool'이라는 FakeAV 악성 파일이 실행되며 허위 진단 후 사용자에게 결제를 유도하는 페이지로 연결하게 됩니다.



<Fig 6. FakeAV 실행된 화면>


<Fig 7. 허위 진단 후 결제페이지로 연결된 화면>


현재 첨부된 악성 파일은 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다.

파일명 : inst.exe 
진단명 : Win-Trojan/Fakeav.1113600.AA



악성코드 유포 사이트는 SiteGuard 엔진에 업데이트 하였으며 아래 그림과 같이 페이지 연결이 차단이 되고 있습니다.




작년 이맘 때면 출근 길에 벚꽃을 볼 수가 있었는데 날씨가 아직 풀리지 않아서인지 벚꽃이 눈에 들어오지 않네요. 벚꽃이 개화하면 여의도로 산책 나오셔요~ ^^







Posted by 비회원

FakeAV (허위백신 혹은 가짜백신)을 첨부한 악성 스팸메일이 유포되고 있어 사용자 분들의 주의가 요망됩니다. 수신된 악성 스팸메일은 아래 그림과 같이 악성 첨부 파일 'Contract.zip' 을 첨부하고 있으며 첨부된 압축 파일을 다운로드하도록 유도하는 내용이 기재되어 있습니다.


<Fig 1. 악성 스팸메일을 수신한 화면>


첨부된 악성 파일을 다운로드하여 실행하면 아래와 같이 'XP Security' 라는 FakeAV가 실행되게 됩니다.


<Fig 2. FakeAV가 시스템을 허위로 진단하는 화면>



<Fig 3. FakeAV가 허위로 경고창을 팝업한 화면>


첨부된 악성 파일은 V3 엔진에 반영되어 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다.

Contract.exe  Win-Trojan/Fakeav.201216.B
Contract.exe  Win-Trojan/Fakeav.202240.G


항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



Posted by 비회원

Andre Pitre는 미국 Actor 입니다. 그가 갑자기 검색 키워드 상위에 랭크가 된 이유를 아시나요??

바로 그가 데뷔로 발표한 'Your Name' 이라는 노래 때문이라네요

그의 노래를 감상하실 분들은 아래 링크를 눌러주세요~~^^


Andre Pitre -Your Name


역시나 이 기회를 악성코드 유포자는 놓치지를 않았군요 ^^

아래 Andre Pitre 키워드로 검색한 결과 중 악성코드 유포페이지로 연결되는 검색 결과가 발견되었습니다. 이런 패턴을 너무 많이 봐서 이제는 진부할 법도 하지만 한번 살펴보도록 하겠습니다.



<Fig 1. Andre Pitre 검색 결과 중 악성코드 유포 페이지로 연결되는 검색 결과>


언제나 그랫듯 재활용에 재활용을 거듭하는 플래쉬 이미지와 경고 팝업창을 띄우면서 사용자의 시스템이 악성코드에 감염되었다고 허위로 보고를 하고 있습니다.



<Fig 2. 허위 경고창>



<Fig 3. 허위 경고 플래쉬>


다운로드 되는 파일의 이름은 역시나 재활용의 재활용을 거듭하여 끝에 숫자만 약간 바꿔서 'pcakupdate_build8_195.exe'라고 명명되어 있네요.


<Fig 4. FakeAV 설치 파일 이미지>


해당 파일 역시 FakeAV 설치 파일이며 이 글들을 보고 계신 구독자라면 최근 FakeAV가 SEO poisoning Attack으로 많이 전파되고 있다는 것을 아시겠죠? ^^


FakeAV 설치파일은 아래 진단명으로 V3에서 진단/삭제가 가능합니다. 따라서 V3의 실시간 감시를 켜 두시면 파일을 다운로드하더라도 진단이 되시니 안심하셔도 되겠습니다.

Win-Trojan/Fakeav.320512


SEO Poisoning Attack을 예방하기 위해서는 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다.











Posted by 비회원


해외 유명인사 Corey Haim 장례식 혹은 유명 권투 선수 Pacquiao 와 Clottey 선수의 빅매치 경기를 겨냥하여 관련 키워드로 검색 시 아래 그림과 같이 악성코드 유포 사이트로 연결이 되게 됩니다.




악성코드 유포 사이트는 연결될 경우 아래 그림과 같이 백신이 스캔하는 듯한 것처럼 위장한 플래쉬를 동작하여 사용자로 하여금 자신의 PC를 스캔하고 진단 치료하는 것으로 속입니다. (이제 이런 속임수를 너무 많이 봐서 지겨우시죠?? ^^)

허위 진단을 한 후 치료를 원하면  사용자로 하여금 다운로드 후 실행을 하도록 유도를 합니다.




SEO Poisoning Attack을 예방하기 위해서는 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다.








Posted by 비회원
최근 비행기 티켓과 관련된 스팸메일을 발송하여 허위 백신(Fake AV)을 설치하는 악성코드가 발견되어 알려 드립니다. 메일은 아래와 같은 제목으로 수신이 되게 됩니다.

제목 : Online order for airplane ticket N숫자

내용 : Good afternoon,
Thank you for using our new service "Buy airplane ticket Online" on our website.
Your account has been created:
Your login: 메일주소
Your password: G6vFjbdp
Your credit card has been charged for $998.63.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!
Kind regards,
Delta Air Lines

첨부파일로 eTicket.zip 이라는 파일을 포함하고 있습니다. 해당 파일을 실행하면 아래와 같이 허위 백신(Fake AV)가 설치되게 됩니다.

현재 해당 파일은 V3 제품군에서
Win-Trojan/Fakeav.186880.E 진단명으로 진단 및 치료가 가능합니다.





해당 허위 백신(Fake AV)는 설치 시 윈도우의 레지스트리를 수정하여 exe 파일 실행 시 허위 백신 프로그램과 같이 실행되도록 하고 있습니다.

따라서 레지스트리를 수정하지 않고 허위백신 실행 파일만 찾아 수동으로 삭제할 경우 아래와 같이 연결프로그램 창이 나타나며 EXE 파일이 모두 실행이 안되는 증상을 겪으실 수 있으니 사용자분들께서는 수동으로 제거를 하지 말고 V3 제품으로 치료를 하는 것을 권장 드립니다.


Posted by 비회원