이메일에 첨부되어 스팸 메일(Spam Mail)처럼 유포되는 악성코드들은 대부분이 ZIP으로 압축된 EXE 파일이 첨부되거나 EXE 또는 SCR 등의 파일 확장자를 가진 첨부 파일 형태로 유포되는 것이 일반적이다.


그러나 최근에 와서는 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크를 제공하여, 특정 악성코드를 유포하는 웹 사이트 또는 피싱(Phishing) 웹 사이트로 연결을 유도하는 형태들도 발견되고 있다.


금일 새벽 국내에 유명 IT 업체인 HP를 사칭하여 악성코드 감염을 유도하는 악의적인 스팸 메일들이 대량으로 유포되었다.


이번에 유포된 악성코드 감염을 목적으로하는 악의적인 스팸 메일은 다음과 같은 형태를 가지고 있다.


* 메일 제목 - 다음 중 하나

Scan from a HP ScanJet #[임의의 숫자열] 

Scan from a Hewlett-Packard ScanJet #[임의의 숫자열]

Scan from a Hewlett-Packard ScanJet [임의의 숫자열]


* 메일 본문

Attached document was scanned and sent


to you using a Hewlett-Packard HP Officejet 1178P.

Sent by: SHAVON

Images : 1

Attachment Type: .HTM [INTERNET EXPLORER]


Hewlett-Packard Officejet Location: machine location not set

Device: [임의의 숫자열]


* 첨부 파일

HP_Doc_06.04-[임의의 숫자열].htm


이 번에 발견된 스팸 메일은 과거의 악성코드를 유포를 목적으로하는 다른 형태의 악의적인 스팸 메일들과는 다른 특징을 보이고 있다. 


해당 스팸 메일은 웹을 기반으로하여 일반 응용프로그램들의 취약점을 악용하는 웹 익스플로잇 툴킷(Web Exploit Toolkit)과 결합하여 다양한 취약점들을 동시에 악용하는 특징을 보이고 있다.


이러한 웹 익스플로잇 툴킷과 결합된 스팸 메일의 전체적인 구조를 도식화하게 되면 아래 이미지와 동일하다.



첨부되어 있는 htm 파일을 실행하게 될 경우에는 웹 브라우저에서는 아래 이미지와 같이 웹 사이트 접속에 잠시 장애가 있는 것으로 위장하고 있다.



그러나 실제 해당 스크립트 파일을 편집기 등으로 확인을 하게 되면, 아래 이미지와 같은 스크립트 코드가 하단에 존재하는 것을 볼 수 있다.



하단에 포함된 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 러시아에 위치한 시스템으로 접속을 하는 코드가 포함되어 있다.


해당 스크립트 코드가 실제 웹 브라우저에 의해 실행되면 아래 이미지와 같이 러시아에 위치한 특정 시스템으로 연결되도록 구성되어 있으며, 해당 시스템은 웹 익스플로잇 툴킷의 한 형태인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)이 설치 되어 있다.



해당 시스템에서는 최초 아래 이미지와 같이 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer)에 존재하는 MS06-014 MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562) 취약점을 악용하는 스크립트 코드를 전송하게 된다.



그 다음으로는 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 Security updates available for Adobe Reader and Acrobat CVE-2010-0188 취약점을 악용하는 PDF 파일을 전송하게 된다.



마지막으로는 자바 애플렛(Java Applet)에 존재하는 Oracle Java SE Critical Patch Update Advisory CVE-2012-0507 취약점을 악용하는 JAR 파일을 전송하게 된다.


위에서 언급한 3가지의 취약점 모두가 정상적으로 악용되지 않을 경우에는 정상 구글(Google) 메인 페이지로 연결하게 된다.



그러나 위 3가지 취약점 중 하나라도 정상적으로 악용될 경우에는 아래 이미지와 같이 동일한 시스템에 존재하는 info.exe (86,016 바이트) 파일을 다운로드하고 실행하게 된다.



해당 익스플로잇 3가지로 인해 다운로드 된 info.exe 파일이 실행되게 되면 윈도우 시스템에 존재하는 정상 explorer.exe 프로세스의 메모리 영역에 자신의 코드를 삽입하게 된다.



자신의 코드가 정상적으로 삽입되면,다음과 같은 경로에 자신의 복사본을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe


그리고 윈도우 시스템이 재실행이 되더라도 자동 실행 되도록 레지스트리(Registry)에 다음의 키를 생성하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

KB01458289.exe = ""C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe""


해당 악성코드는 아래 이미지와 같이 내부에 하드코딩 되어 있는 C&C 서버와 암호화된 SSL(Secure Socket Layer) 통신을 시도하게 된다.



정상적으로 접속이 성공하게 될 경우에는 아래 이미지와 같이 암호화 된 데이터를 통신하게 된다.



그리고 공격자의 명령에 따라 인터넷 익스플로러와 파이어폭스(Firefox) 웹 브라우저가 접속을 시도하는 웹 사이트를 모니터링하고, 관련 정보들을 외부로 유출하게 된다.


이 번에 발견된 HP를 사칭하여 악성코드 감염을 목적으로한 악의적인 스팸 메일은 일반 응용프로그램의 취약점을 악용하는 웹 익스플로잇 툴킷과 결합된 형태이다.


이메일 수신인과 관련이 없는 의심스럽거나 수상한 스팸 메일들을 받게되면 메일 자체를 삭제하고, 첨부된 파일은 어떠한 형태라도 실행하지 않는 주의가 필요하다.


그리고 평소 자주 사용하는 응용 프로그램들은 윈도우 보안 패치와 함께 주기적으로 설치하여, 이러한 일반 응용 프로그램들의 취약점을 악용하는 악성코드 감염을 주의하도록한다.


해당 HP를 사칭한 스팸 메일을 통해 감염을 시도하는 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Iframe

JS/CVE-2006-0003

PDF/CVE-2010-0188

Win-Trojan/Infostealer.86016.F 

Win-Trojan/Downloader.86016.JU

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩을 사칭하여 성인용품을 광고하는 스팸 메일이 무차별적으로 유포되고 있어 사용자들의 각별한 주의가 요구된다

 

[그림 1] 안랩을 사칭한 스팸 메일 원문

그림 1에서 발신인은 AhnLab [csadmin@rm.ahnlab.com]으로 되어 있다. 현재csadmin@rm.ahnlab.com 1주일에 한 번 발행되는 안랩 시큐리티레터의 발신 주소이다. 그러나 메일의 제목을 읽어보면 발신자와 매칭이 쉽게 되지 않는다.

[그림 2] 보안 회사와 큰 연관이 없는 자극적인 메일 제목

그림 2와 같이 대한민국을 대표하는 보안 회사와 선정적인 메일 제목은 이미지부터 서로 부합하지 않는다. 메일을 열어보지 않고 제목과 발신자만 보더라도 AhnLab에서 이런 메일을 보냈을까 하고 의심을 하게 된다. 이러한 경우 열지 않고 삭제하는 것이 가장 좋다.

특별한 정보 없이 연결된 링크를 클릭하라고 안내한다. 해당 링크를 클릭하면 그림 3과 같은 사이트에 연결된다. 홈페이지의 내용으로 보아 성인용 약품을 판매하는 인터넷 사이트이지만, 홈페이지에 언급된 약품은 의사의 처방이 있어야 구입할 수 있다. 또한 이러한 약품들의 인터넷을 통한 판매는 불법적인 사항이므로 처벌 대상이다. 따라서 정상적인 경로로 광고하기 어려운 물품이다 보니 스팸 메일과 같은 형태로 광고를 하는 것이다. 연결되는 사이트 주소는 다음과 같다.

http://www.k****r.com:80/

이번 사례의 경우 악성코드를 유포하는 사례는 아니었으나, 생각없이 링크를 클릭할 경우 악성코드를 유포하는 경우도 많으므로 주의를 기울여야 한다.

[그림 3] 메일 본문 링크 클릭시 이동하는 성인약품 판매 불법사이트

안랩은 이러한 스팸 메일과 연관이 전혀 없으며, 스팸메일을 보내는 사람들이 스팸메일발송기라는 프로그램으로 메일의 발송자를 조작하여 수신자를 속이는 것이다.

이번 사례에서는 크게 3가지 특징을 이용하여 사용자를 현혹했다.

1. 신뢰도 있는 이름 도용
  
- 보안 회사로 신뢰도가 높은 AhnLab의 이름을 도용하여 수신자를 속이려 함

2. 자극적인 메일 제목 사용
  
- 선정적이고 자극적인 제목을 사용하여 수신자의 호기심을 자극시킴

3. 단순한 메일 본문
  
- 단순 연결 링크만 제공하여 호기심이 발동한 사람들의 클릭 유도

자극적인 제목 뿐만 아니라 다른 메일 제목을 사용한 사례도 접수되었다.

이러한 스팸 메일의 수신을 예방하는 방법은 다음과 같다.

1. 출처가 불분명하거나 의심가는 제목일 때는 메일을 열지 말고 삭제한다. 또는 발신자와 제목을 비교하여 정상 메일이 아닐 확률이 높으면 삭제한다.

2. 사용 중인 보안 프로그램은 최신 버전으로 업데이트하고 실시간 감시 기능을 사용한다.

3. 메일에 첨부된 파일은 바로 실행하지 않고, 저장한 다음 보안 프로그램으로 검사한 후 실행한다.

4. 본문의 의심가거나 확인되지 않은 링크는 클릭하지 않는다.

5. 포털 사이트 메일 계정을 이용할 경우 스팸메일차단 기능을 적극 활용한다.

신고
Creative Commons License
Creative Commons License
Posted by 곰탱이푸우

사용자 PC의 문서파일을 탈취하는 악성코드가 발견되었다. Fedex 관련 메일로 위장하여 사용자로 하여금 악성코드 파일을 실행하도록 하고, 감염되었을 경우 사용자 PC에 존재하는 모든 MS워드 파일(doc, docx)과 엑셀파일(xls, xlsx)을 전송하는 유형이다.

해당 메일은 "Your package is available for pickup.NO#8248"이라는 제목으로 전파되었다. 업무상 영문 메일을 많이 주고 받는 사용자와 Fedex을 이용한 국제 화물 운송을 이용하는 빈도가 잦은 사용자는 감염 확률이 높으므로 주의해야 한다. 일반적으로 국내 개인 사용자의 경우 영어로 된 Fedex 관련 메일은 스팸 메시지로 분류하는 사례가 많기 때문에 감염 위험이 높지 않은 편이지만, 주의를 기울일 필요가 있다.


이전글 참고

[악성스팸경보] FedEx 메일을 위장한 악성스팸!

Fedex 운송 관련 메일로 위장하여 악성코드를 유포하는 사례는 새로운 것이 아니다. 주로 DHL, UPS, Fedex 등 유명 국제 화물 운송업체 이름을 도용하여 허위백신을 유포하기 위해 사용되었다. 이번에 발견된 사례는 허위백신이나 가짜 시스템 복구 프로그램으로 위장하는 것이 아닌, 사용자 PC에 존재하는 문서 파일들을 탈취하는 형태를 가지고 있는 것이 특징이다.

 

메일에 첨부된 악성코드 파일 이름은 FedEx_Invoice.exe로 확장명이 txt로 되어 있는 악성코드를다운로드 한다. 다운로드 된 악성코드는 확장명이 txt로 되어 있어 사용자들이 실행파일이 아닌 것으로 생각하고 실행하기 쉽다. 그러나 실제로는 분석을 어렵게 하기 위해 UPX로 실행 압축 된 윈도우 PE파일이다. 그림 1은 해당 파일을 열어본 결과이다. UPX 2번 이상 압축된 것을 확인할 수 있다.


그림 1 정상적인 PE헤더를 가지고 UPX로 실행압축된 악성코드 파일


해당 악성코드의 주요 동작 순서는 그림 2와 같다. 사용자가 첨부파일을 실행하면 사용자 PC에 있는 모든 MS워드 파일이나 엑셀 파일들을 압축하여 해외에 있는 웹하드 업체에 업로드 하고, 악성코드 제작자는 해당 웹하드에서 다운로드하고 웹하드에 등록된 정보를 삭제한다. 해당 웹하드 업체는 Sen****ce라는 업체로 웹하드 서비스를 제공하는 정상적인 업체이다.

그림 2 해당 악성코드 동작 순서


해당 악성코드가 실행되면 c:\Documents and Settings\Administrator\Local Settings\Temp 폴더에 임의의 파일명으로 사용자 PC에 존재하는 문서 파일들을 검색하여 압축한 파일을 생성한다. 그림 3은 해당 악성코드가 실행되었을 경우 문서파일들을 압축한 파일이 생성된 것을 나타낸 것이다.

그림 3 임의의 파일명으로 생성된 압축파일


그림 4는 해당 압축파일에 포함된 폴더 및 파일들의 목록이다. 테스트 된 환경이 하나의 파티션으로 구성되어 C드라이브에 있는 파일들만 수집되었다. 만약 파티션으로 나누거나 2개 이상의 하드디스크(외장하드 포함)가 연결되여 복수의 디스크드라이브를 사용할 경우 D, E 드라이브의 파일들도 수집될 수 있으므로 주의해야 한다. 특히 압축파일에 암호가 적용되어 압축해제시 압축 암호를 알지 못하면 해제할 수 없다.


그림 4 생성된 압축 파일에 포함된 문서 파일들


문서파일이 압축되면 그림 5와 같이 특정 서버에 전송 로그를 남기고 파일을 전송한다. 전송 로그를 남기는 이유는 악성코드 제작자에게 감염여부를 알려주고 통계 정보를 확보하기 위한 것으로 추정된다.

그림 5 특정 서버에 전송 로그를 남기는 패킷


전송 로그를 남기기 위한 패킷을 발송한 다음, 문서 파일이 압축 된 파일을 웹하드 업체 서버로 전송한다. 문서파일 탐색, 압축, 압축파일 전송 등의 기능이 악성코드 파일에 모두 포함되어 있다. 그림 6은 압축파일이 전송되는 패킷이다. 악성코드 파일에 업로드 기능이 포함된 것으로 보아, 악성코드 제작자는 해당 웹하드 업체의 파일 업로드/다운로드 웹페이지 구조에 대해 분석하고 악성코드에 사용한 것으로 보인다.

그림 6 압축파일을 전송하는 패킷


전송 패킷을 분석하여 얻은 업로드 된 주소로 접속해보면 그림 7과 같이 해당 파일을 찾을 수 없고 이미 삭제되었다는 메시지가 나타난다. 악성코드 제작자에게 압축 파일이 전송되고 해당 웹하드 업체의 데이터는 삭제되었다.

그림 7 웹하드에서 이미 삭제 된 압축 파일


국내 기업 및 관공서의 경우 대다수의 사용자들이 문서파일을 바탕화면 폴더를 포함한 디스크에 대부분의 문서들을 보관하고 있다. 특히 문서파일에 암호를 걸지 않고 사용하는 것이 대부분이기 때문에 해당 악성코드에 감염될 경우 중요 문서 파일들이 통째로 악성코드 제작자에게 전송 될 수 있으므로 주의를 기울여야 한다.

 

이러한 악성코드의 경우 최근 이슈가 되고 있는 APT(Advanced Persistent Threat)와는 다르다. APT는 목표로 하는 시스템에 장기간에 걸쳐 시스템 취약점 및 관리자 계정을 탈취한 다음, 원하는 정보만 빼내거나 파괴하는 것을 목적으로 한다. 그러나 해당 악성코드의 경우 스팸 메일을 발송해 감염대상을 알 수 없고, 원하는 특정 정보만 탈취하는 것이 아니라 사용자PC에 존재하는 모든 문서 파일들을 탈취하는 특성을 가지고 있기 때문이다.

 

현재 V3에서는 다음과 같이 진단되고 있다.

 

Spyware/Win32.Zbot (2012.02.07.03)

Trojan/Win32.Gen (2012.02.14.00)

 

이러한 악성코드가 동작하거나 감염되는 것을 예방하기 위해서는 다음과 같은 조치를 취해야 한다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 한다.

 

2. 출처가 불분명한 메일이거나, 의심가는 제목일 경우 가급적 메일을 열지 말고 삭제한다.

 

3. 사용중인 보안프로그램은 최신버전의 엔진을 사용하고 실시간 감시 기능을 사용한다.

 

4. 메일에 첨부파일이 존재 할 경우 바로 실행하지 않고, 저장한 다음 최신 엔진으로 업데이트된 보안프로그램을 통해 검사를 한 후 실행 하도록 한다.

 

5. 전자 메일에 존재하는 의심이 가거나 확인되지 않은 웹사이트 링크는 클릭하지 않는다.

 

6. 악성코드의 감염을 예방하기 위해 윈도우, 인터넷 익스플로러, 오피스 제품 등의 보안 업데이트를 모두 설치 한다.

 

7. 중요한 문서파일은 PC에 보관하지 않는다.

 

8. 중요한 문서 파일에 암호를 걸어 저장하는 습관을 가진다.


신고
Creative Commons License
Creative Commons License
Posted by 곰탱이푸우
1. 개요
 올해 6월경 요금명세서 및 쇼핑몰 관련 메일로 위장해서 유포하는 악성코드가 발견되어 그에 대한 내용을 공유하고자 문서를 작성합니다.


2. 위장 메일 유형
 메일을 통해 유포되는 악성코드는 평소 전달되는 정상적인 요금명세서 및 쇼핑몰 관련 메일로 위장하고 있으며 ActiveX 형태로 악성코드를 설치하게 끔 하는 형태 입니다. 따라서 주의하지 않는다면 누구나 쉽게 감염될 수 있으며 현재까지 발견된 메일은 아래와 같은 메일이 있습니다.

유형 1) “OO은행 OO카드 2010년06월20일 이용 대금명세서입니다?” 라는 제목의 메일
 
[그림] OO카드 이용대금 명세서로 위장한 악성코드 유포 메일

 
[그림] 위 메일에서 [이용대금 명세서 보기] 메뉴를 선택 시 나타나는 화면


유형 2) “7월 이용대금 명세서” 라는 제목의 메일
 
[그림] 요금 명세서를 위장한 악성코드 유포 메일


유형 3) 쇼핑몰을 위장한 악성코드 유포 메일


[그림] 쇼핑몰을 위장한 악성코드 유포 메일 화면



유형 4) “[OOO] 주문하신 상품이 발송되었습니다” 라는 제목의 OOO 쇼핑몰 메일로 위장한 메일

[그림] OOO 쇼핑몰 메일로 위장한 악성코드 유포 메일 화면



3. 메일 상세 분석
 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 유포 메일의 특징은 악성코드를 ActiveX를 이용하여 설치한다는 점입니다. 그리고 기존에 많은 요금 명세서 및 쇼핑몰 메일이 이러한 형태로 발송되고 있으며 보안모듈 역시 ActiveX로 설치되므로 일반 사용자는 악성 여부를 확인하기가 어려워 쉽게 악성코드가 악성코드에 감염이 될 가능성이 높은 형태의 유포방법 입니다.

그럼 악성코드가 어떤식으로 유포되어 어떤기능을 수행하는지에 대해 상세하게 분석해 보도록 하겠습니다. 먼저 전체적인 구조도 입니다.

[그림] 메일을 통해 유포되는 악성코드 구조도


1. 먼저 첫번째로 불특정 다수에서 요금명세서 및 쇼핑몰 메일로 위장하여 메일을 유포하게 됩니다.


2. 메일을 받은 사용자는 메일에 포함된 링크를 클릭하게 됩니다.

3. 메일 본문을 클릭 하거나 특정 링크 클릭 시 아래와 같은 ActiveX 설치메시지가 나타납니다.
 
[그림] 악성코드 설치를 위한 ActiveX 경고 창


ActiveX 설치를 위한 코드는 아래와 같이 구성되어 있습니다.
 
[그림] 악성코드 설치를 위한 ActiveX 코드 일부


4. ActiveX가 정상적으로 실행이 되게 되면 특정 사이트로 접속을 합니다.

5. 특정 사이트에 악성 EXE 및 DLL 파일을 다운로드 하여 사용자의 시스템에 설치가 됩니다.
여기서 다운로드 하는 EXE 및 DLL 파일명은 최초 확인된 파일명은 AD20.EXE, AD20.DLL 이나 이후 비슷한 형태로 [영문자 2자리 + 숫자 2자리] 또는 [영문자 2자리 + 숫자 4자리] 또는 [영문자 4자리] 등 다수의 변종파일이 계속해서 발견되고 있는 상황입니다.

6. 설치된 EXE 및 DLL 파일은 악성 행위를 수행하게 됩니다.

7. 악성행위 중 대표적인 행위는 특정 서버(C&C)에서 명령을 전달 받습니다.

8. 그리고 전달 받은 내용을 토대로 DDOS 기능을 수행하게 됩니다.
특정 서버(C&C)에 접속 형태는 아래와 같은 형태의 인자를 전달하여 XML 포맷의 형태로 명령을 전달받게 됩니다.

1) C&C 서버에 접속하여 명령을 받아오기 위해 요청하는 주소 형태
http://www.pa***.com /v2.0/cmd.php?mac_addr=MAC주소&ver=영문자+숫자

2) 명령 전달 형태 (XML 포맷)

</mailContent>
    <mailFileName></mailFileName>
    <mailSendTerm>43200000</mailSendTerm>
    <mailSendMax>200</mailSendMax>
    <mailRepeat>1</mailRepeat>
    <CmdServer>http://www.pa****.com/v2.0/cmd.php</CmdServer>   // C&C 서버 주소
    <CmdServer1>http://www.k***.com/v2.0/cmd.php</CmdServer1>   // C&C 서버 주소
    <CmdServer2>http://www.k***.com/v2.0/cmd.php</CmdServer2>   // C&C 서버 주소
    <CmdUpdateTime>30000</CmdUpdateTime>
    <delayWindow>10000</delayWindow>
    <CntWindow>1</CntWindow>
    <ifRandom>1</ifRandom>
  </CONFIG>
  <AddrInfo>
    <URL><![CDATA[http://mail.****.com]]></URL>   // DDOS 공격 대상 주소
    <HeaderData></HeaderData>
    <Content></Content>
    <PostData></PostData>
    <JSExec></JSExec>
    <ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
  <AddrInfo>
    <URL><![CDATA[http://comic.****.com]]></URL>      // DDOS 공격 대상 주소
    <HeaderData></HeaderData>
    <Content></Content>
    <PostData></PostData>
    <JSExec></JSExec>
    <ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
.
.
.
[중간 생략]
.
.
.
<ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
</root>

9. 마지막으로 불특정 다수에게 메일을 발송하여 다시 악성코드를 유포하게 됩니다.


4. 대응 상황
 현재 V3 제품군에서는 이와 유사한 형태의 악성코드를 계속해서 모니터링 및 수집중에 있으며 변종이 발견되는대로 엔진에 대응하고 있습니다.

먼저 아래 그래프는 요금명세서 및 쇼핑몰을 위장한 메일로부터 유포되는 악성코드에 대해 안철수연구소 내부적으로 확인된 감염 현황 입니다.

 
[그래프] 현재까지 확인된 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 감염 추이


최초 발견은 2010년 6월 3일경에 되었으며 꾸준히 증가하고 있는 추세 입니다. 그리고 해당 악성코드는 현재 V3 제품군에서 아래와 같은 진단명으로 진단하고 있습니다.


Win-Spyware/Agent.375808.B
Win-Trojan/Mailfinder.366080
Win-Trojan/Mailfinder.367104.B
Win-Trojan/Mailfinder.367104.C
Win-Trojan/Mailfinder.190976.B
Win-Trojan/Mailfinder.188031
Win-Trojan/Agent.366080.BI
Win-Trojan/Agent.366080.BH
Win-Trojan/Ddos.366080
Trojan/Win32.DDoS
[표] 현재 V3 제품군에서 진단하는 진단명


5. 예방 방법
 이러한 일종의 사회공학적 기법을 이용하여 악성코드를 유포하는 경우 악성 여부를 확인하기가 상당히 어렵습니다. 따라서 이러한 종류의 악성코드로부터 예방을 하기 위해서는 아래와 같은 수칙을 지킨다면 조금이나마 예방을 할 수 있으리라 생각합니다.

1) 자신에게 해당하지 않는 요금명세서 관련 메일은 열람하지 않도록 합니다.
2) 주문하지 않은 상품에 대한 상품 발송 관련 쇼핑몰 메일은 열람하지 않도록 합니다.
3) 발신자의 이메일 주소가 해당 메일을 보낸 회사가 맞는지 확인을 합니다.
4) 백신을 항상 최신 버전의 엔진으로 유지하도록 합니다.
[표] 요금명세서 및 쇼핑몰 관련 메일을 통해 유포되는 악성코드 예방 수칙

신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 지인이 보내는 생일 e카드를 가장하여 악성코드를 유포하는 스팸메일이 발견되어 안내해 드립니다.

제목 : *이메일주소* has sent you a birthday ecard.

*이메일주소* just sent you an ecard
You can view it by clicking here:
http://t****f.googlegroups.com/web/setup.zip
You can also copy & paste the above link into your browser's address bar
Your ecard is going to be with us for the next 30 days
We hope you enjoy your ecard

위 메일 본문의 링크에 접속을 하면 아래와 같이 구글 그룹스로 접속되어 첨부파일을 다운로드 할 수 있으며 첨부파일은 악성코드 입니다.


해당 첨부파일은 ZIP 파일로 압축되어 있으며 압축을 풀면 아래와 같이 설치파일을 가장한 아이콘의 실행파일이 나타나게 됩니다.


항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원
스마트폰 사용자가 많이 늘어남에 따라 스팸메일 역시 이러한 사용자를 타켓으로 하여 악성코드를 유포하고 있습니다. 아이튠즈를 가장하여 악성코드를 유포하는 메일이 발견되어 안내해 드립니다.

제목 : Thank you for buying iTunes Gift Certificate!

Hello!

You have received an iTunes Gift Certificate in the amount of $50.00
You can find your certificate code in attachment below.
Then you need to open iTunes. Once you verify your account, $50.00 will be credited to your account, so you can start buying music, games, video right away.
iTunes Store.

첨부파일 : Gift_Certificate_숫자.zip

해당 첨부파일은 아래와 같이 마이크로소프트 오피스 워드 문서를 위장한 EXE 파일입니다.


항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다.
이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요.

메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요.

제목:
Your transaction has been processed


본문:

Your transaction has been processed by WorldPay, on behalf of Amazon Inc.

The invoice file is attached to this message.

This is not a tax receipt.

We processed your payment.

Amazon Inc has received your order,

and will inform you about delivery.

Sincerely,

Amazon Team




위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다.














제발 결제해달라고 아우성치는군요~^^
똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요?
만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다!

끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. V3와 같은 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^;

이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요!

아래는 메일의 내용입니다.

  • 메일 제목
You have received an eCard 
  • 본문 내용

Good day.
You have received an eCard
To pick up your eCard, click on the following link (or copy & paste it into your web browser):
http://micro.[삭제].com/ecard.zip
Your card will be aviailable for pick-up beginning for the next 30
days.
Please be sure to view your eCard before the days are up!
We hope you enjoy you eCard.
Thank You

링크를 통해 받은 파일의 압축을 해제하면 ecard.exe 가 나옵니다.

이번에도 ini 파일 아이콘으로 위장했네요.

위 파일은 V3에서 Win-Trojan/Agent.145920.AE(V3, 진단버전:2010.04.25.00)  로 진단됩니다.

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다.

이번 스팸메일에 사용된 제목은 Please attention!  입니다.

아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요!

Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly.
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you,
DHL Delivery Services.

첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.

 

이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다.

위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.

 

 

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 보안 업데이트를 위장한 악성코드가 삽입된 스팸메일이 유포되고 있으니 주의하시기 바랍니다.

제목 : For the owner of the 메일주소 mailbox

Dear user of the 주소 mailing service!
We are informing you that because of the security upgrade of the mailing service your mailbox (메일주소) settings were changed. In order to apply the new set of settings click on the following link:
http://주소/owa/service_directory/settings.php?email=메일주소&from=주소&fromname=blahblah
Best regards, 주소 Technical Support.
Letter-ID#P2L0P55YUXII5S3YFR6YONGBQQP8BO81Y


위 메일에 링크된 주소로 접속을 하게되면 아래와 같은 화면이 나타나며 가운데 첨부된 파일을 실행할 경우 악성코드에 감염되게 됩니다.


현재 V3 제품에서는 Win-Trojan/Injector.130048.D 진단명으로 진단 및 치료가 가능합니다. 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원