악성 파일을 첨부한 스팸메일은 2010년에도 여전히 기승을 부리고 있네요.

A new settings file for the [사용자메일주소] has just be released

상기 메일 제목으로 악성파일을 첨부하여 배포되고 있습니다. 메일 내 본문 내용은 아래 회색 박스 안과 같은 내용입니다. 참 그럴 듯하게 작성해 놓았네요. 악성코드를 배포할려면 글을 잘 쓸 필요도 있겠습니다 ^^;;;


Dear use of the ahnlab.com mailing service!
We are informing you that because of the security upgrade of the mailing service your mailbox [사용자 메일 주소] settings were changed. In order to apply the new set of settings open attached file.
Best regards, [사용자 메일 서비스 URL] Technical Support.


  첨부된 파일은 settings.zip이며 압축을 푼 모습은 왼쪽 그림과 같습니다.


첨부된 파일은 실행 후 아래와 같이 'XP Guardian'이라는 FakeAV를 실행시켜 허위 진단 및 경고창을 지속적으로 팝업시킵니다.




1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고
Creative Commons License
Creative Commons License

'악성코드 정보' 카테고리의 다른 글

Taiwan Earthquake  (2) 2010.03.05
SEO Poisoning  (2) 2010.03.03
A new settings file for the [사용자메일주소] has just be released  (6) 2010.02.27
updated account agreement  (2) 2010.02.14
UPS Delivery Problem NR.숫자  (2) 2010.01.12
For the owner of the 메일주소 mailbox  (2) 2010.01.12
Posted by 비회원

"updated account agreement" 메일 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다.

첨부된 파일의 파일명은 agreement.exe이며 해당 스팸메일의 본문은 아래와 같습니다.

Dear Facebook user,
Due to Facebook policy changes, all Facebook users must submit a new, updated account agreement, regardless of their original account start date.
Accounts that do not submit the updated account agreement by the deadline will have restricted.
Please unzip the attached file and run “agreement.exe” by double-clicking it.
Thanks,
The Facebook Team



첨부된 파일을 실행할 경우 아래 그림과 같이 SecurityTool이라는 허위 백신이 실행되게 됩니다.




현재 V3에서 아래와 같이 진단하고 있습니다.

agreement.exe 
 - Win-Trojan/Agent.19968.TB(V3추가)


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.





신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다.

자세한 내용은 "악성 스팸 경고" 카테고리에 관련 글들이 많으니 참조해 주세요.

Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다.

< Fig 2. Internet Security 2010 >

생성되는 악성파일 중 C:\winodows\system32\helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다.


< Fig 2. 인터넷 페이지 오류 >

Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 <-- 키


PackedCatalogItem <-- 이름

C:\WINDOWS\system32\helper32.dll.ols\VSock ....  <-- 데이터


* 시스템에 따라 키 값이 달라 질 수 있습니다.


< Fig 3. 정상 레지스트리 값 >



< Fig 4. 변경된 레지스트리 값 >


이 경우 정상 레지스트리 값을 가져와서 변경된 레지스트리 값을 수정해 주어야 합니다. 정상적인 시스템에서의 값을 가져와도 되며, 만약 시스템 복원을 사용하는 사용자라면 Fig 5. 처럼 IceSword 툴을 이용하여 시스템 복원 폴더에서 감염되기 전의 시간대의 레지스트리 중 SYSTEM 값을 'Copy to' 옵션으로 카피를 해 둡니다.

* 정상적인 시스템에서 레지스트리 값을 가져올 수 있는 사용자는 아래 Fig 5. 과정을 생략하셔도 되겠습니다.


< Fig 5. 시스템 복원 폴더 내 정상 레지스트리 카피 >


카피 후 레지스트리 편집기를 실행시키신 후 [파일] - [하이브 로드] 옵션으로 카피를 해 두었던 SYSTEM 파일을 로드합니다.


< Fig 6. 하이브 로드 >


하이브 로드 후 Fig 7.처럼 '내보내기' 옵션으로 Catalog_Entries.reg 파일을 생성합니다.



< Fig 7. 레지스트리 값 내보내기 >


하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수 있으며 이 경우 경로를 수정해 주어야 합니다. 

예를 들어, 필자의 경우 하이브 로드 시 'AhnLab' 이라는 키 이름을 입력하였고 따라서 이 부분을 'SYSTEM'으로 수정을 해 주어야 합니다.


< Fig 8. .reg 파일 경로 수정 >

경로 수정 작업까지 완료했다면 이제 .reg 파일을 실행하여 레지스트리 값을 정상적인 값으로 수정합니다.







 
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 택배와 관련된 메세지를 이용하여 악성코드를 전파하고 있는 스팸메일이 발견되어 포스팅 합니다.

제목 : UPS Delivery Problem NR.숫자

Hello!
We failed to deliver your postal package which was sent on the 13th of July in time
because the addressee's address is erroneous.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service of America.

위와 같은 메일에 아래와 같이 엑셀 아이콘의 실행파일이 첨부되어 있다면 해당 파일을 실행하지 마시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Dropper/Malware.36352.Y 진단명으로 진단하고 있습니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 보안 업데이트를 위장한 악성코드가 삽입된 스팸메일이 유포되고 있으니 주의하시기 바랍니다.

제목 : For the owner of the 메일주소 mailbox

Dear user of the 주소 mailing service!
We are informing you that because of the security upgrade of the mailing service your mailbox (메일주소) settings were changed. In order to apply the new set of settings click on the following link:
http://주소/owa/service_directory/settings.php?email=메일주소&from=주소&fromname=blahblah
Best regards, 주소 Technical Support.
Letter-ID#P2L0P55YUXII5S3YFR6YONGBQQP8BO81Y


위 메일에 링크된 주소로 접속을 하게되면 아래와 같은 화면이 나타나며 가운데 첨부된 파일을 실행할 경우 악성코드에 감염되게 됩니다.


현재 V3 제품에서는 Win-Trojan/Injector.130048.D 진단명으로 진단 및 치료가 가능합니다. 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다.

비밀번호를 재설정하라는 제목으로

"Facebook Password Reset Confirmation. Important Message"

유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다.



아래는 악성 스팸 메일 본문 내용입니다.


Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.



V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다.



Facebook_Password_[랜덤한 숫자].exe
    - Win-Trojan/Bredolab.27648.L


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고
Creative Commons License
Creative Commons License
Posted by 비회원

"Your credit balance is over its limit"   제목의 악성파일을 첨부한 스팸메일이 유포 중입니다.

해당 스팸 메일의 본문은 아래와 같습니다.

Dear Verizon Wireless customer,
Your credit balance is over its limit. Please use the attached Verizon Wireless Balance Checker Tool to review and analyze your payments.
Yours sincerely,
Verizon Wireless Customer Services

해당 스팸메일에 첨부된 악성파일은 아래와 같으며 V3에서 기진단되고 있습니다.

balancechecker.exe
 - Win-Trojan/Zbot.25088

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
콘피커 웜이 퍼지고 있으며 첨부된 파일로 스캔을 권유하는 악성 스팸메일이 유포되고 있습니다.
해당 스팸메일의 본문은 아래와 같습니다.

Dear Microsoft Customer,
Starting 12/11/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division


이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서 진단되고 있으니 감염 시 수동 검사를 통하여 진단/치료해 주시기 바랍니다.

3YMH6JJY.exe : Win-Trojan/Cutwail.55296

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
DHL을 가장하여 악성파일을 첨부한 메일이 다시 스팸메일로 전파되고 있습니다.

해당 스팸 메일의 본문은 아래와 같습니다.


Dear customer!
The courier company was not able to deliver your parcel by your address.
You may pickup the parcel at our post office personaly.
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.
Thank you for attention.
DHL Express Services.


이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서 진단되고 있습니다.

3YMH6JJY.exe 
 - Win-Trojan/Downloader.56320.CP

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원
TAG Spam, V3, 스팸

UPS를 가장한 스팸메일이 발견되고 있습니다. 해당 메일은 inv.exe 라는 악성 파일을 첨부하고 있습니다.

메일 본문은 아래와 같습니다.

Dear customer!
Unfortunately we were not able to deliver the postal package which was sent on the 20th of June in time
because the addressee's address is incorrect.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service of America.


해당 파일은 현재 V3에서 아래와 같이 진단을 하고 있습니다.

Win-Trojan/Downloader.51200.AL(V3)

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
TAG UPS, V3, 스팸