"Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다.

메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;;

Please find attached the new Word document.

첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.14848.TT


[그림1] 스팸메일에 첨부된 악성코드


[그림2] 첨부 파일 실행 시 접속되는 IP의 위치

스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원

아래 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 메일 본문은 첨부한 악성코드를 확인하기 위해 첨부한 파일을 다운로드하여 실행하도록 사용자에게 유도하도록 작성되어 있으며 사용자들의 각별한 주의가 필요합니다.

Email Policy Violation
FROM [영문명 이름]


아래 링크에 포스팅 된 글에 기재된 첨부파일과 똑같은 형식의 파일 아이콘 형식이며 실행 시 FakeAV가 실행되어 허위 진단 후치료를 위해 사용자에게 결제를 유도합니다.

http://core.ahnlab.com/203





http://core.ahnlab.com/152

위 링크에 포스팅 된 글에서 언급해 드렸듯이 실행파일이 아닌 것으로 위장하는 파일들은 아래와 같이 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 옵션을 체크해제하면 확장명을 확인할 수 있으므로 문서 파일로 오인하고 실행하는 것을 사전에 예방할 수 있습니다.



스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193
http://core.ahnlab.com/196

상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다.

지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다.

Delivery Status Notification (Delay)
Delivery Status Notification (Failure)

해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다.

Forwarded Message.html

첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다.



난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.








신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193


위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다.

난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다.




game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다.

c:\windows\PRAGMA[랜덤한 문자]\

이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다.

v3alureon_gen_np.zip

검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다.




은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다.

작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성 스팸메일이 유포 중이니 주의하시기 바랍니다. 해당 스팸메일로 유포되는 악성코드 및 취약점 Exploit 파일은 곧 V3엔진에 업데이트 될 예정입니다.

[악성 스팸 메일 제목]
[랜덤한 메일 계정] has sent you a birthday ecard.
young limber girl
hello
Welcome to YouTube



<악성 html링크를 삽입한 랜덤한 메일 계정] has sent you a birthday ecard. 제목의 스팸메일>



<악성 html링크를 삽입한 Welcome to YouTube 제목의 스팸메일>





신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원
악성코드를 첨부한 아래 두 악성스팸메일이 유포되고 있는 것이 확인되어 사용자들의 주의가 당부됩니다.

Outlook Setup Notification
Thank you for setting the order No.[랜덤한 6자리 숫자]








첨부된 두개의 악성파일은 동일한 악성코드를 설치합니다. Protection Center 라는 FakeAV가 설치가 되며 바탕화면에 성인 사이트로 연결되는 링크 파일들을 생성하게 됩니다.



당 파일들은 현재 V3 제품에서 아래와 같은 진단명으로 진단하고 있습니다.
Win-Trojan/Alureon.36352.B



상기와 같은 의심스러운 메일을 수신하였을 경우 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다.
이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요.

메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요.

제목:
Your transaction has been processed


본문:

Your transaction has been processed by WorldPay, on behalf of Amazon Inc.

The invoice file is attached to this message.

This is not a tax receipt.

We processed your payment.

Amazon Inc has received your order,

and will inform you about delivery.

Sincerely,

Amazon Team




위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다.














제발 결제해달라고 아우성치는군요~^^
똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요?
만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다!

끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. V3와 같은 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

아마존 주문의 택배 메일을 가장한 메일이 유포되고 있습니다. 주문 상세정보를 확인하기 위해 첨부된 파일을 확인하라고 메일에 기재되어 있어서 사용자로 하여금 실행을 유도합니다.

 

 

실제로 메일에 첨부된 압축 파일을 압축해제해 보니아래와 같이 jpg 파일인 것처럼 사용자를 현혹시키네요                                                          

 

 

아래 링크의 이전 글에서 알려드린 것처럼 확장자  숨기기 옵션을 해제하면 아래 그림처럼 확장자를  확인할 수 있습니다. 다만 실행파일을 의미하는 .exe 와 사용자를 현혹시키기 위한 .jpg 사이에 많은 공백을 두어 사용자로 하여금 jpg 파일인 것처럼 속이려고 하기 때문에 확장자를 자세히 살펴보시기 바랍니다.


파일 확장자 숨기기 옵션 해제


첨부된 파일이 실행되면 대량의 스팸메일이 발송됩니다. 아래 그림은 네트워크 트래픽을 모니터링 한 그림이며 25번 port로 트래픽이 발생하는 것을 확인할 수 있습니다.

 



이 외 동일한 종류의 악성파일들이 발견되고 있으니 해당 스팸메일 수신 시 주의 하시기 바랍니다.

 

스팸메일에 첨부된 악성파일들은 Win32/Prolaco.worm.428032.B 진단명으로 V3에서 진단 및 치료가 가능합니다. 항상 아래 내용을 준수하여 스팸메일을 통해 유포되는 악성코드의 위험으로 부터 미연에 예방하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

 

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원

소포 배달을 가장한 스팸메일이 유포되고 있습니다. 해당 스팸메일은 악성 파일을 첨부하고 있으며 메일 제목은 아래와 같은 형태입니다. 


Your order has been paid! Parcel NR.[랜덤한 숫자]. 


아래 그림은 악성 파일을 첨부하여 유포되고 있는 스팸메일 수신시 캡쳐 화면이며 본문에는 Amazon이라는 유명 사이트인 것처럼 사용자를 속여 악성 파일을 다운로드 후 프린트를 할 것을 권하여 사용자가 파일을 실행하도록 유도합니다..



<Fig 1. 악성 스팸메일>


첨부된 악성 파일이 실행되면 아래 그림과 같이 XP Security Tool 2010 이라는 FakeAV가 실행이 되며 허위진단 후 치료를 위해 제품 구입 결제를 요구하며 결제  페이지로 연결되게 됩니다. 


 

<Fig 2. 악성파일 실행 시 허위진단 및 경고창, 결제 페이지>


첨부된 악성파일은 아래 그림 Fig 3.과 같이 워드 문서 아이콘으로 위장하여 사용자들에게 첨부된 파일이 워드 문서인 것처럼 인식시켜 안심하고 실행하도록 유도합니다.  해당 파일은 Dropper/Agent.57344.CY 진단명으로 V3에서 진단 및 치료가 가능합니다.


<Fig 3. 파일 확장자가 보이는 경우 악성 파일>


상기 캡쳐 화면 상에는 확장자인 exe 가 보이는 것이 보이시나요? 확장자가 exe인 것을 다운로드 한 사용자가 본다면 해당 파일을 의심할 수 있지만 아래와 같이 확장자가 보이지 않는 경우라면 exe 실행파일이 아닌 워드 문서로 오인하기 쉽습니다.

 

 <Fig 4. 파일 확장자가 보이지 않을 경우 악성 파일>


따라서, 탐색기를 실행하신 후 [도구] – [폴더옵션]에서 아래 그림처럼 ‘알려진 파일 형식의 파일 확장명 숨기기’ 옵션을 체크 해제하신 후 설정을 적용하시기를 권해드립니다.

 

<Fig 5. 확장자 확인할 수 있도록 설정하는 화면>


이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일, 소셜 네트워크 메세지 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원


4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다.
3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다.

DHL Services. Get your parcel NR.9195
DHL Express. Please get your parcel NR.8524

DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다.

YOUR TEXT

악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요.


<Fig 1. 4월 2일 발송된 악성스팸메일들>




첨부된 악성 파일들을 다운로드하여 압축해제하면
오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게
워드 문서인 것 처럼 보이게 합니다.






각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다.


파일명 : DHL_label_5893.exe
진단명 : Dropper/Malware.59392.GC

파일명 : File.exe
진단명 : Win32/MyDoom.worm.32256



항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.








신고
Creative Commons License
Creative Commons License
Posted by 비회원