http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 계속해서 html 파일을 첨부한 스팸메일이 기승을 부리고 있습니다. 거의 매일 새로운 제목과 함께 변종이 발견되고 있습니다.

지난 포스트 보기 : http://core.ahnlab.com/189

최근에 발견된 메일은 아래와 같이 호기심을 자극할만한 제목으로 클릭을 유도하여 첨부파일을 실행하도록 유도 합니다.

My Everything
Love, Always And Forever
To The One I Love
In Your Heart
Expressions Of Love
hello
Heart Is Set On You
Shall We Dance?
A New Persepctive

첨부되는 파일은 foryou.html 같은 제목의 파일이며 해당 파일명은 언제든지 변경될 수 있습니다. 해당 파일을 열어 보면 아래와 같이 알아볼 수 없을 정도로 난독화 되어 있습니다.

[그림 1] 첨부된 파일 내용 중 일부


첨부파일을 실행하게 되면 아래와 같이 성인 약품을 광고하는 사이트로 자동으로 이동하며 그외에 다른 허위백신이나 악성코드를 설치하는 페이지로 유도될수도 있습니다.

[그림 2] 첨부파일 실행 시 접속하는 성인약품 광고 사이트


현재 V3 제품군에서는 JS/Redir 진단명으로 진단 및 치료가 가능합니다.
항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방 하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다.

기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다.

최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다.

FaceBook message: intense sex therapy
Hello
Reset your Facebook password
Reset your Twitter password
FIFA World Cup South Africa... bad news
*도메인명* account notification
Delivery confirmation
Outlook Setup Notification
New discounts daily

Helping small *oles grow
*otent *apsules for lovers
*our cum on my ass and mouth!
hot public *udity with crazy jennifer
Alexa And Miley *uck And *uck A Good Cock
Getting a Massage and *ucking the *asseuse
young *hick shows her hot body
*usty *ilf fingers herself in the bathroom
*ature White Wife *ucked Anal by Black Man *ILF
German *ILF Face *ucked and Drenched in *um
Pretty *runette enjoys being *aughty

위와 같은 제목의 메일에 아래와 같은 형태의 스크립트 파일을 첨부하고 있습니다.


위 스크립트는 특정 사이트로 자동으로 접속하도록 하는 스크립트입니다. 자동으로 접속하는 사이트에서는 허위 백신이 설치 되거나 성인 약품을 광고하는 사이트로 확인되었습니다.



현재 V3 제품군에서는 해당 스크립트 파일을 Js/Agent, HTML/Redirect 등의 진단명으로 진단하고 있습니다. 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방 하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 트위터를 가장한 악성코드를 다운로드 하는 링크가 첨부된 메일이 확인되어 안내 드립니다.

제목 : Twitter 숫자-숫자



위와 같은 내용의 메일이 오며 위 메일 내용에서 빨간 박스안의 내용은 해당 메일을 받는 사용자의 이메일 계정 주소로 나타날 것입니다. 예를들어 victim@gmail.com 이면 빨간 박스 안의 내용은 gmail.com 이 되는 것입니다.

그리고 위 메일 본문에서 http://twitter.com/account/=im@*사용자 이메일 도메인* 주소의 링크를 클릭하면 보기에는 twitter.com 사이트로 접속하는 것으로 보이지만 실제로는 악성코드를 다운로드 하는 URL로 접속을 하게 됩니다.

해당 링크에서 받은 파일은 ZIP 파일이며 압축을 해제하면 아래와 같은 설치파일의 아이콘을 가장한 악성코드가 나타납니다.


최근 트위터 사용자가 급격하게 늘어남에 따라 트위터를 가장한 메일을 통해 악성코드가 유포되고 있으니 항상 아래와 같은 사항을 지켜 악성코드로 부터 안전하게 시스템을 지키시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
악성코드를 첨부한 아래 두 악성스팸메일이 유포되고 있는 것이 확인되어 사용자들의 주의가 당부됩니다.

Outlook Setup Notification
Thank you for setting the order No.[랜덤한 6자리 숫자]








첨부된 두개의 악성파일은 동일한 악성코드를 설치합니다. Protection Center 라는 FakeAV가 설치가 되며 바탕화면에 성인 사이트로 연결되는 링크 파일들을 생성하게 됩니다.



당 파일들은 현재 V3 제품에서 아래와 같은 진단명으로 진단하고 있습니다.
Win-Trojan/Alureon.36352.B



상기와 같은 의심스러운 메일을 수신하였을 경우 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 지인이 보내는 생일 e카드를 가장하여 악성코드를 유포하는 스팸메일이 발견되어 안내해 드립니다.

제목 : *이메일주소* has sent you a birthday ecard.

*이메일주소* just sent you an ecard
You can view it by clicking here:
http://t****f.googlegroups.com/web/setup.zip
You can also copy & paste the above link into your browser's address bar
Your ecard is going to be with us for the next 30 days
We hope you enjoy your ecard

위 메일 본문의 링크에 접속을 하면 아래와 같이 구글 그룹스로 접속되어 첨부파일을 다운로드 할 수 있으며 첨부파일은 악성코드 입니다.


해당 첨부파일은 ZIP 파일로 압축되어 있으며 압축을 풀면 아래와 같이 설치파일을 가장한 아이콘의 실행파일이 나타나게 됩니다.


항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원
이번주에 유독 스팸메일을 통해 악성코드가 유포되는 사례가 많이 발견되어 안내해 드립니다.

제목 : Thank you from Google!
We just received your resume and would like to thank you for your interest in
working at Google. This email confirms that your application has been submitted
for an open position.

Our staffing team will carefully assess your qualifications for the role(s) you
selected and others that may be a fit. Should there be a suitable match, we
will be sure to get in touch with you.

Click on the attached file to review your submitted application.

Have fun and thanks again for applying to Google!

Google Staffing


첨부파일 : document.pdf .exe


제목 : You Received Online Greeting Card



첨부파일 : setup.zip



제목 : New resume.
Please review my CV, Thank you!

첨부파일 : Resume_document_119.zip




위와 같은 메일의 공통점은 모두 첨부파일을 포함하고 있다는 점입니다. ZIP 파일로 압축되어 있으며 압축을 해제하면 위와 같이 DOC 문서의 아이콘을 가진 EXE 파일이나 기타 아이콘으로 위장하고 있는것이 특징입니다.


그외에 확장자가 PDF 인것처럼 위장하여 뒤에 .EXE를 붙인 EXE 파일도 있으니 가급적 모르는 발신지에서 오는 메일의 첨부파일은 열지 않는것을 권장 드립니다.

현재 V3 제품에서는 대부분의 파일을 진단하고 있으며 항상 아래 사항을 유의하여 스팸메일을 통해 유포되는 악성코드로 부터 시스템을 안전하게 지키기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
메일을 이용하여 메일을 유포하는 방식 중 문서 파일을 이용하여 악성코드를 감염시키는 메일이 확인되어 안내해 드립니다. 이러한 기법은 예전에 발견된 내용이나 블로그에 따로 소개해 드린적이 없어 안내해 드립니다.

이러한 메일은 대부분 첨부파일로 DOC 파일 혹은 RTF 파일이 첨부되게 됩니다. 해당 첨부파일을 열면 아래와 같이 나타나게 됩니다.


[그림 1. Microsoft Office 가 설치되어 있지 않은 경우]


[그림 2. Microsoft Office 가 설치되어 있는 경우]


만약 시스템에 마이크로스프트 오피스가 설치되어 있으면 아래와 같이 Word 프로그램이 나타날 것이며 설치되어 있지 않을 경우 위와같이 워드패드에서 나타날 것입니다.

문서를 열게 되면 PDF 파일의 아이콘이 나타나며 더블클릭을 하라는 메세지가 보입니다. 해당 아이콘을 더블클릭 하면 아래와 같은 창이 나타나게 됩니다.


이때 [실행] 버튼을 누르게 되면 DOC 파일 내부에 있는 EXE 파일이 실행되며 악성코드에 감염되므로 주의를 하시기 바랍니다.

앞으로는 DOC 파일도 열람 시 발신자가 불분명한 사용자가 보낸  파일이라면 열람하지 않는것을 권장 드립니다.
항상 아래와 같은 사항을 지켜 메일을 통해 전파되는 악성코드를 미연에 예방하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. V3와 같은 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

아마존 주문의 택배 메일을 가장한 메일이 유포되고 있습니다. 주문 상세정보를 확인하기 위해 첨부된 파일을 확인하라고 메일에 기재되어 있어서 사용자로 하여금 실행을 유도합니다.

 

 

실제로 메일에 첨부된 압축 파일을 압축해제해 보니아래와 같이 jpg 파일인 것처럼 사용자를 현혹시키네요                                                          

 

 

아래 링크의 이전 글에서 알려드린 것처럼 확장자  숨기기 옵션을 해제하면 아래 그림처럼 확장자를  확인할 수 있습니다. 다만 실행파일을 의미하는 .exe 와 사용자를 현혹시키기 위한 .jpg 사이에 많은 공백을 두어 사용자로 하여금 jpg 파일인 것처럼 속이려고 하기 때문에 확장자를 자세히 살펴보시기 바랍니다.


파일 확장자 숨기기 옵션 해제


첨부된 파일이 실행되면 대량의 스팸메일이 발송됩니다. 아래 그림은 네트워크 트래픽을 모니터링 한 그림이며 25번 port로 트래픽이 발생하는 것을 확인할 수 있습니다.

 



이 외 동일한 종류의 악성파일들이 발견되고 있으니 해당 스팸메일 수신 시 주의 하시기 바랍니다.

 

스팸메일에 첨부된 악성파일들은 Win32/Prolaco.worm.428032.B 진단명으로 V3에서 진단 및 치료가 가능합니다. 항상 아래 내용을 준수하여 스팸메일을 통해 유포되는 악성코드의 위험으로 부터 미연에 예방하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

 

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원
Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다.

제목 : Myspace Password Reset Confirmation! Your Support
Hey ,
,
,
,
,
,
,
,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
The Myspace Team.

첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.

만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다.

허위백신으로 인한 증상 및 조치 방법 :
http://core.ahnlab.com/135



그리고 인터넷 익스플로러 실행 시 아래와 같이 키로거가 설치되어 있다는 경고 메세지와 함께 익스플로러에서 사이트로 접속 시 원하는 페이지가 나타나지 않는것을 확인할 수 있습니다.




그리고 주기적으로 아래와 같은 경고 메시지와 우측 하단의 트레이 아이콘이 표시되는 부분에 아래와 같은 경고 메세지 및 트레이 아이콘이 생성되게 됩니다.




이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원