UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다.

 

[그림 1] 스팸 메일에 첨부 된 html 파일

html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다.

 

[그림 2] 악성코드를 유포하는 웹 사이트

 

첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안설정에 의해 차단되는 것을 방지한다. 그리고 폴더 옵션을 변경하여 윈도우 탐색기에서 보이지 않도록 설정한다.

 

[파일 생성]

C:\Documents and Settings\[login user]\Application Data\[랜덤폴더]\[랜덤파일명].exe

C:\Documents and Settings\[login user]\Local Settings\Temp\4.tmp\msupdate.exe

C:\Documents and Settings\[login user]\Local Settings\Temp\4.tmp\PsExec.exe

 

생성되는 파일 중에서 PsExec.exe 파일은 MS에서 제공하는 보안 도구로, 동작하고 있는 시스템에 대해서 원격에서 명령 수행이 가능하도록 해주는 기능이 있기 때문에 설치되면 추가적인 보안 사고가 발생할 위험성이 있다. 이 툴에 대한 자세한 정보는 아래 사이트에서 확인할 수 있다.

 

- http://technet.microsoft.com/ko-KR/sysinternals/bb897553.aspx

 

원격으로 명령을 수행해주는 프로그램이 설치되는 경우는 악성코드가 설치 된 것 보다 더 큰 문제가 될 수 있다. Anti-Virus와 같은 보안 제품들이 악성코드로 분류하지 않기 때문에, 악성코드가 제거된 이후에도 악성코드 제작자들에 의해 얼마든지 장악될 가능성이 높다. 이번 사례에서 다룬 악성코드의 유포자 또한 PC의 로그인 계정 정보와 같은 민감한 데이터를 이미 파악하고 있을 가능성이 높고, 악성코드 제작자에 의해 좀비PC로써 활용될 위험성이 있다. 뿐만 아니라 타인을 공격하는 등 범죄의 수단으로 악용 될 수 있는 문제도 있다. 아래 그림은 감염된 시스템에서 불특정 다수에게 이메일을 발송하는 시점의 패킷을 캡쳐한 것이다.

 

[그림 3] 감염된 PC에서 악성 메일 발송

 

외부에서 정보를 받아오거나, PC에 설치되어 있는 아웃룩의 주소록이나 편지함 등 이메일 주소를 추출할 수 있는 곳의 정보를 이용하여 메일을 수신하는 대상을 선정한다. 이와 같은 메일 발송 기능은 악성코드에 감염되었을 때 항상 발생하는 증상은 아니다. 또한 메일이 발송 되더라도 인지하지 못하는 경우가 대부분이다. 그러나 회사의 네트워크가 느려지거나 불특정 다수에게 악성코드가 포함 된 스팸 메일을 발송하여, 추가 피해를 발생시키는 등의 여러 부작용이 있으므로 감염되지 않기 위한 사용자의 주의가 필요하다.

 

<V3 제품군의 진단명>

Win-Trojan/Agent.238080.AS 

Win-Trojan/Agent.278016.AD 

Trojan/Win32.VBKtypt 

 

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드

자바 취약점을 악용하는 악성코드

트래픽을 유발하는 악성코드

P2P 사이트를 통해 유포되는 무협지 위장 악성코드
다양한 전자 문서들의 취약점을 악용한 악성코드
취약점을 이용하지 않는 한글 파일 악성코드
윈도우 8로 위장한 허위 백신 발견
당첨! 자동차를 받아가세요
도움말 파일로 위장한 악성코드가 첨부된 메일
UPS, Amazon 메일로 위장한 악성코드
악성코드 치료 후 인터넷 연결이 되지 않는다면


2) 모바일 악성코드 이슈

2012 미국 대선을 노린 광고성 애플리케이션 주의

일본 여성을 타깃으로 하는 Loozfon 모바일 악성코드

Anime character named Anaru(Android Malware)

유명 게임으로 위장한 개인정보를 유출하는 악성 앱 주의


3) 보안 이슈

인터넷 익스플로러 제로데이 취약점(CVE-2012-4969)


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.33 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다.

이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다.

아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다.


참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다.



이번에 발견된 FedEx를 위장한 악성스팸메일의 자세한 정보는 아래와 같다.

메일 제목
 - FedEx notification #048128258

메일 본문
 - Dear customer!
The parcel was sent your home address! And  it will arrive within  3
business  day!
More  information  and  the traching number are attached in document
below!
Thank you.
Best regards.
2011 FedEx International GmbH. All rights reserved.
첨부된 파일
 - 첨부된 파일은 PDF 파일이 아닌 exe 확장자의 실행파일이다.




첨부된 파일을 실행하게 되면 아래와 같은 "WindowsRecovery" 라는 이름의 FakeAV (허위백신)에 감염되게 되며 사용자의 시스템이 악성코드에 감염되었다는 허위 경고를 계속적으로 노출시켜 사용자의 불안감을 조장시킨 후 결재를 유도한다.


[그림1] 허위백신 WindowsRecovery

현재 V3 제품에서는 아래 진단명으로 해당 악성코드를 진단하고 있다.

FedEx.exe (18,432 bytes)
 - Win-Trojan/Agent.18432.YR


스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.










신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 택배와 관련된 메세지를 이용하여 악성코드를 전파하고 있는 스팸메일이 발견되어 포스팅 합니다.

제목 : UPS Delivery Problem NR.숫자

Hello!
We failed to deliver your postal package which was sent on the 13th of July in time
because the addressee's address is erroneous.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service of America.

위와 같은 메일에 아래와 같이 엑셀 아이콘의 실행파일이 첨부되어 있다면 해당 파일을 실행하지 마시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Dropper/Malware.36352.Y 진단명으로 진단하고 있습니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

UPS를 가장한 스팸메일이 발견되고 있습니다. 해당 메일은 inv.exe 라는 악성 파일을 첨부하고 있습니다.

메일 본문은 아래와 같습니다.

Dear customer!
Unfortunately we were not able to deliver the postal package which was sent on the 20th of June in time
because the addressee's address is incorrect.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service of America.


해당 파일은 현재 V3에서 아래와 같이 진단을 하고 있습니다.

Win-Trojan/Downloader.51200.AL(V3)

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
TAG UPS, V3, 스팸
아래 그림과 같이 UPS 메일인 것처럼 위장하고 파일을 첨부하여 스팸메일을 발송하고 있습니다.



아래 그림은 첨부된 파일이며  V3에서 아래 진단명으로 진단을 하게 됩니다.

Win-Trojan/ZBot.104960.E

V3엔진은 항상 최신버전인지 확인해 주시고 만약, 아래 악성파일을 실행시켜 감염이 되셨다면 V3  수동검사를 통하여 삭제해 주시기 바랍니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
TAG UPS, V3, 스팸