안랩을 사칭하여 성인용품을 광고하는 스팸 메일이 무차별적으로 유포되고 있어 사용자들의 각별한 주의가 요구된다

 

[그림 1] 안랩을 사칭한 스팸 메일 원문

그림 1에서 발신인은 AhnLab [csadmin@rm.ahnlab.com]으로 되어 있다. 현재csadmin@rm.ahnlab.com 1주일에 한 번 발행되는 안랩 시큐리티레터의 발신 주소이다. 그러나 메일의 제목을 읽어보면 발신자와 매칭이 쉽게 되지 않는다.

[그림 2] 보안 회사와 큰 연관이 없는 자극적인 메일 제목

그림 2와 같이 대한민국을 대표하는 보안 회사와 선정적인 메일 제목은 이미지부터 서로 부합하지 않는다. 메일을 열어보지 않고 제목과 발신자만 보더라도 AhnLab에서 이런 메일을 보냈을까 하고 의심을 하게 된다. 이러한 경우 열지 않고 삭제하는 것이 가장 좋다.

특별한 정보 없이 연결된 링크를 클릭하라고 안내한다. 해당 링크를 클릭하면 그림 3과 같은 사이트에 연결된다. 홈페이지의 내용으로 보아 성인용 약품을 판매하는 인터넷 사이트이지만, 홈페이지에 언급된 약품은 의사의 처방이 있어야 구입할 수 있다. 또한 이러한 약품들의 인터넷을 통한 판매는 불법적인 사항이므로 처벌 대상이다. 따라서 정상적인 경로로 광고하기 어려운 물품이다 보니 스팸 메일과 같은 형태로 광고를 하는 것이다. 연결되는 사이트 주소는 다음과 같다.

http://www.k****r.com:80/

이번 사례의 경우 악성코드를 유포하는 사례는 아니었으나, 생각없이 링크를 클릭할 경우 악성코드를 유포하는 경우도 많으므로 주의를 기울여야 한다.

[그림 3] 메일 본문 링크 클릭시 이동하는 성인약품 판매 불법사이트

안랩은 이러한 스팸 메일과 연관이 전혀 없으며, 스팸메일을 보내는 사람들이 스팸메일발송기라는 프로그램으로 메일의 발송자를 조작하여 수신자를 속이는 것이다.

이번 사례에서는 크게 3가지 특징을 이용하여 사용자를 현혹했다.

1. 신뢰도 있는 이름 도용
  
- 보안 회사로 신뢰도가 높은 AhnLab의 이름을 도용하여 수신자를 속이려 함

2. 자극적인 메일 제목 사용
  
- 선정적이고 자극적인 제목을 사용하여 수신자의 호기심을 자극시킴

3. 단순한 메일 본문
  
- 단순 연결 링크만 제공하여 호기심이 발동한 사람들의 클릭 유도

자극적인 제목 뿐만 아니라 다른 메일 제목을 사용한 사례도 접수되었다.

이러한 스팸 메일의 수신을 예방하는 방법은 다음과 같다.

1. 출처가 불분명하거나 의심가는 제목일 때는 메일을 열지 말고 삭제한다. 또는 발신자와 제목을 비교하여 정상 메일이 아닐 확률이 높으면 삭제한다.

2. 사용 중인 보안 프로그램은 최신 버전으로 업데이트하고 실시간 감시 기능을 사용한다.

3. 메일에 첨부된 파일은 바로 실행하지 않고, 저장한 다음 보안 프로그램으로 검사한 후 실행한다.

4. 본문의 의심가거나 확인되지 않은 링크는 클릭하지 않는다.

5. 포털 사이트 메일 계정을 이용할 경우 스팸메일차단 기능을 적극 활용한다.

신고
Posted by 곰탱이푸우
2012년 1월 26일 해외를 중심으로 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)의 메시지를 통해 트위터 사용자 계정과 암호를 수집하기 위한 용도의 피싱(Phishing) 시도가 발견되었다.

이 번에 발견된 트위터에서 피싱 시도는 처음으로 있는 일이 아니며 2010년 2월 24일 트위터의 다이렉트 메시지(Direct Message)의 단축 URL(URL Shortening)을 이용해 피싱 웹 사이트로 접속을 유도한 사례가 있다.

금일 발견된 트위터에서의 피싱 웹 사이트로 접속을 유도하는 방식은 기존과 동일하게 단축 URL을 이용하여 사용자가 호기심을 가질만한 내용으로 위장하고 있다.

 
해당 트위터 메시지에 포함된 단축 URL을 클릭하게 되면 아래 이미지와 같이 트위터 사용자 로그인 페이지와 유사한 웹 사이트로 연결된다.

 
그러나 실제 해당 웹 사이트는 트위터 사용자 로그인 페이지로 위장하여 트위터 사용자 계정와 로그인 암호를 수집하기 위해 정교하게 제작된 피싱 웹 페이지이다.

그리고 입력되는 사용자 계정과 로그인 암호들 모두는 중국에 위치한 특정 시스템으로 전송하게 되어 있어 수집한 사용자 계정과 로그인 암호를 이용하여 다른 보안 위협 유포에 악용할 것으로 추정된다.

이러한 단축 URL을 이용하여 보안 위협을 유포한 사례들로는 2011년 1월 21일 단축 URL을 이용해 허위 백신 감염을 시도한 사례, 2011년 5월 15일 단축 URL을 이용해 맥(Mac) OS에 감염되는 허위 백신 유포 사례2011년 8월 9일 단축 URL을 이용해 신용카드 결제를 유도하는 스팸 메시지 유포 사례 등 다수가 존재함으로 단축 URL 클릭시에는 각별한 주의가 필요하다.

그러므로 트위터를 통해 잘 모르는 사람을 통해 전달 받은 메시지에 포함된 단축 URL 클릭시에는 주의를 기울여야 한다.
저작자 표시
신고
Posted by 비회원

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다.

이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다.

참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다.



이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다.

메일제목 : Your password is changed

메일본문
Good afternoon
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for using our services.
FaceBook Service.
Of course, Halls success led to an immediate recrudescence of the efforts to extract artemisium from the Syx ore, and, equally of course, every such attempt failed.Hall, while keeping his own secret, did all he could to discourage the experiments, but they naturally believed that he must have made the very discovery which was the subject of their dreams, and he could not, without betraying himself, and upsetting the finances of the planet, directly undeceive them. The consequence was that fortunes were wasted in hopeless experimentation, and, with Halls achievement dazzling their eyes, the deluded fortune-seekers kept on in the face of endless disappointments and disaster. And presently there came another tragedy. The Syx mill was blown up! The accident--although many people refused to regard it as an accident, and asserted that the doctor himself, in his chagrin, had applied the match--the explosion, then, occurred about sundown, and its effects w ere awful.


메일제목 : Spam from your Facebook account

메일본문
Good afternoon.
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for attention.
Your Facebook!
About the room and in and out of her shop moved Edith, going softly and quietly.A light began to come into her eyes and colour into her cheeks. She did not talk but new and daring thoughts visited her mind and a thrill of reawakened life ran through her body. With gentle insistence she did not let her dreams express themselves in words and almost hoped that she might be able to go on forever thus, having this strong man come into her presence and sit absorbed in his own affairs within the walls of her house. Sometimes she wanted him to talk and wished that she had the power to lead him into the telling of little facts of his life. She wanted to be told of his mother and father, of his boyhood in the Pennsylvania town, of his dreams and his desires but for the most part she was content to wait and only hoped that nothing would happen to bring an end to her waiting.


첨부파일은 이전과 동일하게 아이콘이 word 문서인 것처럼 보이나 실제로 확장명을 보면 word 문서 파일이 아닌 exe 실행파일임을 알 수 있다.

파일명 : Attached_SedurityCode.exe (두 스팸메일에 첨부된 파일명은 동일함.)


[그림1] 첨부된 악성코드


사용자가 악성코드를 실행하게 되면 문서파일인 것처럼 위장하기 위해 워드파일을 드랍 후 파일을 열기 때문에 사용자는 의심을 덜하게 된다.


[그림2] 사용자를 속이기 위해 열려진 워드문서 파일


현재 V3에서는 아래와 같은 진단명으로 진단/치료가 가능하다.

Attached_SecurityCode.exe 
 - Win-Trojan/Fakeav.51712.V (51,712 bytes)
Attached_SecurityCode.exe 
 - Win-Trojan/Agent.33792.AAJ (33,792 bytes)



스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.







 

신고
Posted by 비회원
"report", "Delivery Status Notification (Failure)" 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다.

1. 메일제목 
 ▶ report


Sending my report. Have a great weekend.
Cheers

2. 메일제목 
 
Delivery Status Notification (Failure)

Delivery to the following recipient failed permanently:
ampoulesvb8@resp-usc.com
Technical details of permanent failure:
DNS Error: Domain name not found


해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

<meta http-equiv="refresh" content="0;url=http://XXXXXXXXXXXXX/x.html>



[그림 1. 스팸메일에 첨부된 인코딩 된 악성HTML파일]

최종적으로 아래 그림과 같은 악성코드 유포 사이트로 연결이 되게 되며 사용자의 시스템을 스캔하는 듯 현혹하기 위해 미리 만들어 둔 플래쉬 파일이 구동이 됩니다. 이전에 나온 패턴들과 동일하게 사용자에게 시스템이 감염되었다는 경고 메세지 창과 함께 파일을 다운로드 받아 실행하도록 유도합니다.



[그림 2. 악성코드 유포사이트 (1)]




[그림 3. 악성코드 유포사이트 (2)]

다운로드 된 파일은 아래와 같이 구성 파일 아이콘을 가지고 있지만 확장자에서 실행파일임을 짐작할 수 있습니다.



[그림 4. 최종적으로 다운로드된 악성코드]


첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Posted by 비회원

악성코드를 첨부한 아래 제목의 스팸메일들이 유포되고 있으니 사용자들의 주의가 필요합니다. 해당 스팸메일들에 첨부된 파일들은 악성코드이며 절대 실행하지 않도록 당부드립니다.

New Taxes Coming
Sales Dept
Garages

[표 1] 악성코드를 첨부한 메일들의 제목


[그림 1] 악성코드를 첨부한 "New Taxes Coming" 제목의 스팸메일


[그림 2] 악성코드를 첨부한 "Sales Dept" 제목의 스팸메일

[그림 3] 악성코드를 첨부한 "Garages" 제목의 스팸메일

각각의 스팸메일에 첨부된 악성코드는 아래와 같은 파일들이 첨부되어 있으며 사용자에게 configuration 파일처럼 보이기 위해 configuration 파일 아이콘을 사용하였지만 확장자를 보면 실행파일 확장자인 exe 확장자를 가진 파일임을 알 수 있습니다.

[그림 4] "Sales Dept" 제목의 스팸메일에 첨부된 악성코드

[그림 5] "Sales Dept" 제목의 스팸메일에 첨부된 악성코드

[그림 6] "Garages" 제목의 스팸메일에 첨부된 악성코드

첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표 2] 메일 열람 안전 수칙




신고
Posted by 비회원
1. 서론
 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다.


2. 전파 경로
 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.

유형 1) Facebook 에서 발송한 메일로 위장한 경우

[그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일



유형 2) 구글에서 발송한 메일로 위장한 경우
 
[그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일


유형 3) 초대 E-Card로 위장한 경우
 
[그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일


유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우

 
[그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일


유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우

 
[그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일


위 5가지 유형의 메일이 현재 발견된 메일이며 첨부된 ZIP 파일 목록은 아래와 같습니다.


[그림] 첨부된 악성코드 파일명


위 압축 파일을 해제하면 아래와 같은 파일이 존재합니다. 해당 파일의 특징은 “document.[pdf 또는 jpg 또는 chm][다수의 스페이스].exe” 파일명을 가지고 있으며 다수의 스페이스를 파일명에 삽입하여 EXE 파일을 다른 파일처럼 위장을 하고 있는 것이 특징입니다.


[그림] 다수의 스페이스를 삽입하여 jpg, chm. pdf 파일로 위장하고 있는 악성코드



3. 감염 증상
 우선 해당 악성코드 감염이 되면 가장 두드러 지게 나타나는 증상은 25번 포트로 다수의 패킷이 발생하는 증상입니다. 이유는 해당 악성코드 감염 시 다수의 스팸메일을 발송하기 때문입니다.

[그림] 25번 포트로 다수의 패킷이 발생하는 화면


그리고 아래와 같은 파일을 생성하게 됩니다.


C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
[표] 악성코드로 인해 생성되는 파일


생성되는 파일 중 눈에 띄는 특징은 Firefox 브라우져 경로에 몇몇 파일을 생성한다는 점입니다. 해당 파일들은 Firefox 애드온 관련 파일로 아래와 같은 애드온이 설치되게 됩니다.


[그림] 악성코드로 인해 설치되는 Firefox 애드온


해당 애드온은 Adobe 사의 Flash Plugin으로 위장을 하고 있지만 실제로은 악성 애드온이며 해당 애드온의 기능은 Google 이나 Bing 등의 검색엔진에서 검색 시 검색결과를 조작하여 보여주는 기능입니다.



4. 대응 현황
 현재 V3 제품군에서는 아래와 같은 진단명으로 해당 악성코드를 진단하고 있습니다. 스마트 업데이트를 통해 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

ASD.Prevention
Win-Trojan/Banload.610304.D
[표] 해당 악성코드에 대한 V3 제품군 진단명



5. 수동 조치 방법

 가급적 V3 제품을 통해 조치하는 것을 권장드리지만 수동으로 조치를 하고자 하신다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.

1) 아래 안내해 드리는 링크에서 GMER 프로그램을 다운로드 합니다.
GMER 다운로드 링크 : http://gmer.net/gmer.exe

2) GMER 프로그램 실행 후 상단의 “>>>” 탭을 선택하면 메뉴가 나타나게 됩니다. 메뉴 중 [Files] 탭으로 이동합니다.


 
3) File 탭에서 아래 안내해 드리는 파일을 찾아 삭제를 하시기 바랍니다. 만약 아래 안내해 드리는 파일이 존재하지 않는다면 무시하셔도 됩니다.

C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe



4) 파이어폭스 실행 후 부가기능에서 악성코드로 인해 설치된 부가기능을 제거 하시기 바랍니다.

 


5) 위 작업을 모두 마치셨다면 시스템을 재부팅 하시기 바랍니다.



6. 결론
 최근 메일을 통해 유명 SNS인 Facebook이나 Twitter 혹은 유명 기업을 사칭하여 메일을 발송해 악성코드를 전파하는 메일이 다수 발견되고 있습니다. 사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표] 메일 열람 안전 수칙

신고
Posted by 비회원

"Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다.

메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;;

Please find attached the new Word document.

첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.14848.TT


[그림1] 스팸메일에 첨부된 악성코드


[그림2] 첨부 파일 실행 시 접속되는 IP의 위치

스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193
http://core.ahnlab.com/196

상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다.

지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다.

Delivery Status Notification (Delay)
Delivery Status Notification (Failure)

해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다.

Forwarded Message.html

첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다.



난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.








신고
Posted by 비회원
가짜 차량 세금으로 위장한 악성 스팸메일이 유입되고 있어 사용자의 주의가 필요합니다.

메일 제목에 car tax, car fee 를 포함한 이메일 주의! 
Good day!
how you maybe have prepared hear, the Ministry of Transport will Adjustment a tax for your car.
Please read attached documentation extensively, in the cease of economize on your finance.
 
have a nice day!


메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 CAR_DOCUMENTATION.DOC.exe파일이 생성됩니다.


그림과 같이 아이콘을 word문서로 꾸몄지만, 실제는 실행파일(pe파일) 이므로 실행하지 않도록 조심해야 합니다.
만약 실수로 실행시켰다면, 당황하지 마시고 사용하시는 안티바이러스 프로그램을 이용해 검사 및 치료하시기 바랍니다.
백신이 설치되지 않으셨다면, 아래 링크를 통해 V3Lite 를 설치하여 치료하시길 권합니다.

V3에서는 위 악성코드에 해당하는 파일을 아래와 같은 진단명으로 진단하고 있습니다.

  Win-Trojan/Agent.60416.FV(V3)

아래의 사항들을 준수하여, 자신의 PC를 악성코드로부터 안전하게 보호하시기 바랍니다.


PC 보안 10계명

 
1.
윈도 운영체계는 최신 보안 패치를 모두 적용한다

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다


3.
해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.


4.
웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서비스를 이용해 예방한다.


5.
웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.


6.
이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.


7.
메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.


8. P2P
프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.


9.
정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.


10.
중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

 
신고
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193


위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다.

난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다.




game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다.

c:\windows\PRAGMA[랜덤한 문자]\

이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다.

v3alureon_gen_np.zip

검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다.




은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다.

작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성 스팸메일이 유포 중이니 주의하시기 바랍니다. 해당 스팸메일로 유포되는 악성코드 및 취약점 Exploit 파일은 곧 V3엔진에 업데이트 될 예정입니다.

[악성 스팸 메일 제목]
[랜덤한 메일 계정] has sent you a birthday ecard.
young limber girl
hello
Welcome to YouTube



<악성 html링크를 삽입한 랜덤한 메일 계정] has sent you a birthday ecard. 제목의 스팸메일>



<악성 html링크를 삽입한 Welcome to YouTube 제목의 스팸메일>





신고
Posted by 비회원