2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다.

이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다.

참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다.



이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다.

메일제목 : Your password is changed

메일본문
Good afternoon
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for using our services.
FaceBook Service.
Of course, Halls success led to an immediate recrudescence of the efforts to extract artemisium from the Syx ore, and, equally of course, every such attempt failed.Hall, while keeping his own secret, did all he could to discourage the experiments, but they naturally believed that he must have made the very discovery which was the subject of their dreams, and he could not, without betraying himself, and upsetting the finances of the planet, directly undeceive them. The consequence was that fortunes were wasted in hopeless experimentation, and, with Halls achievement dazzling their eyes, the deluded fortune-seekers kept on in the face of endless disappointments and disaster. And presently there came another tragedy. The Syx mill was blown up! The accident--although many people refused to regard it as an accident, and asserted that the doctor himself, in his chagrin, had applied the match--the explosion, then, occurred about sundown, and its effects w ere awful.


메일제목 : Spam from your Facebook account

메일본문
Good afternoon.
Spam is sent from your FaceBook account.
Your password has been changed for safety.
Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.
Please do not reply to this email, it's automatic mail notification!
Thank you for attention.
Your Facebook!
About the room and in and out of her shop moved Edith, going softly and quietly.A light began to come into her eyes and colour into her cheeks. She did not talk but new and daring thoughts visited her mind and a thrill of reawakened life ran through her body. With gentle insistence she did not let her dreams express themselves in words and almost hoped that she might be able to go on forever thus, having this strong man come into her presence and sit absorbed in his own affairs within the walls of her house. Sometimes she wanted him to talk and wished that she had the power to lead him into the telling of little facts of his life. She wanted to be told of his mother and father, of his boyhood in the Pennsylvania town, of his dreams and his desires but for the most part she was content to wait and only hoped that nothing would happen to bring an end to her waiting.


첨부파일은 이전과 동일하게 아이콘이 word 문서인 것처럼 보이나 실제로 확장명을 보면 word 문서 파일이 아닌 exe 실행파일임을 알 수 있다.

파일명 : Attached_SedurityCode.exe (두 스팸메일에 첨부된 파일명은 동일함.)


[그림1] 첨부된 악성코드


사용자가 악성코드를 실행하게 되면 문서파일인 것처럼 위장하기 위해 워드파일을 드랍 후 파일을 열기 때문에 사용자는 의심을 덜하게 된다.


[그림2] 사용자를 속이기 위해 열려진 워드문서 파일


현재 V3에서는 아래와 같은 진단명으로 진단/치료가 가능하다.

Attached_SecurityCode.exe 
 - Win-Trojan/Fakeav.51712.V (51,712 bytes)
Attached_SecurityCode.exe 
 - Win-Trojan/Agent.33792.AAJ (33,792 bytes)



스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.







 

신고
Creative Commons License
Creative Commons License
Posted by 비회원


◆ 서론

 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다.

이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다.
(본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.)

1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법
 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사

2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법
 A. 안전모드(네트워크사용)로 부팅
 B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사



따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는
전용백신으로 선 조치
후 PC 를 사용하시기 바랍니다.

MBR 이란?
하드 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역. 컴퓨터(PC)에 전원을 넣으면 먼저 첫 번째 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽힌다. 이렇게 읽힌 MBR의 프로그램은 분할표(partition table)의 정보를 기점으로 기동하는 분할(partition)의 부트 섹터(boot sector:분할의 맨 앞에 있는 OS 기동 프로그램이 기록된 부분)를 읽어 이 섹터의 프로그램에 의해 운영 체계(OS)가 기동된다. 따라서 MBR의 정보가 파괴되면 PC는 기동할 수 없게 된다.

조치 방법

1.     PC를 안전모드(네트워킹 사용)로 부팅.

안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로 !!! 누름) 누르시면 아래 그림과 같이Windows 고급 옵션 메뉴 (Vista,Win7은 고급부팅옵션)” 화면으로 넘어가게 됩니다.

 

A.     윈도 2000 의 경우 안전모드(네트워크 드라이버 사용) 선택

 

B.      윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우 안전모드(네트워킹 사용) 선택

 

2.     최신 전용백신 다운로드 및 실행

A.     안철수연구소 홈페이지(http://www.ahnlab.com) 접속


 
i.        
메인 팝업창에서 전용백신 다운로드 받기클릭

  

B.      보호나라 홈페이지 (http://www.boho.or.kr) 접속

                         i.         메인 팝업창에서 안철수연구소 전용백신 다운로드클릭

 

3.     전용백신 실행 후 검사클릭

 

안철수연구소 홈페이지 전용백신

 

보호나라 홈페이지 안철수연구소 전용백신

 

4.     악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)

A.     안철수연구소 홈페이지 전용백신

                         i.         악성코드 발견


                        ii.         전체치료 클릭


                       iii.         재부팅 하시겠습니까?(Y) 선택시 치료와 동시에 재부팅 진행

 

B.      보호나라 홈페이지 안철수연구소 전용백신

                         i.         악성코드 발견


                        ii.         악성코드 치료

               

 

5.     검사 완료되면 종료클릭 후 PC 재부팅

 

     V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. 서론
키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다.

* 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다.

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338

2. 감염 시 증상
아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.


      [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문

해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다.


스페이스 바 : "야마꼬"
엔터 키 : "아하하하"
그 외 Tab, Delete 키 등

[표 1] 키보드 키에 따른 소리


또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도 있습니다.

0001B66C   0041C26C      0   procexp.exe
0001B680   0041C280      0   procmon.exe
0001B694   0041C294      0   autoruns.exe
0001B6AC   0041C2AC      0   KillProcess.exe
0001B6C4   0041C2C4      0   PrcInfo.exe
0001B6D8   0041C2D8      0   filemon.exe
0001B6EC   0041C2EC      0   regmon.exe
0001B700   0041C300      0   taskmgr.exe
0001B714   0041C314      0   HiJackThis.exe
0001B72C   0041C32C      0   avz.exe
0001B73C   0041C33C      0   phunter.exe
0001B750   0041C350      0   UnlockerAssistant.exe
0001B770   0041C370      0   Unlocker.exe
0001B788   0041C388      0   regedit.exe
0001B79C   0041C39C      0   msconfig.exe

[표 2] 실행을 방해하는 프로그램 리스트

생성되는 파일 및 변경되는 레지스트리 정보는 아래와 같습니다. 시스템 시작 시 자동 실행되게 설정하며 폴더 옵션 비활성화 및 숨김 속성을 준 후 숨김 속성을 변경하지 못하게 하며 작업관리자 등을 disabled 로 설정하게 됩니다.


[파일 생성]
C:\WINDOWS\system32\logo.scr
C:\WINDOWS\system32\drivers\servise.exe
C:\WINDOWS\system32\drivers\Cache\XXX.scr

[레지스트리 변경]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDeamon                                                                                         "C:\WINDOWS\system32\drivers\servise.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden                                                                                "0" 
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden                                                                       "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt                                                                           "1" 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\NoFolderOptions                                                                       "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr                                                                          "1" 


[표 3] 생성되는 파일 및 변경되는 레지스트리

3. 조치 방법
생성된 파일들은 동일한 파일이며 V3에서 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.166912.BN






신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. 서론


성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.

2. 악성코드 정보

해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.

 발견 일시
 8월 10일
 9월 9일
 10월 12일
 아이콘
 어플리케이션 명
 MoviePlayer  PornoPlayer  PornoPlayer

[표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션


[그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션

어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.


  android.telephony.SmsManager.sendTextMessage("7132", 0, "846978", 0, 0);
   *
'7132' 번호로 "846978" 이라는 문자메시지를 발송.
     
아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.

  android.telephony.SmsManager.sendTextMessage("7132", 0, "845784", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "846996", 0, 0);
  android.telephony.SmsManager.sendTextMessage("7132", 0, "844858", 0, 0);

[표 2] 성인 동영상 플레이어를 위장한 악성 어플리케이션

3. 대응 현황


현재 V3 Mobile에서는 사용자에게 SMS 요금을 과금시키는 PornoPlayer 어플리케이션을  Android-Trojan/SmsSend.B 진단명으로 진단/치료 기능을 제공하고 있습니다.

[그림 2] V3 Mobile 수동검사에서 Android-Trojan/SmsSend.B 진단



[그림 3] V3 Mobile 실시간 검사에서 Android-Trojan/SmsSend.B 진단


4. 예방 방법
 
1) 스마트 폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다.
2)
출처가 명확하지 않은 어플리케이션은 다운로드 및 설치를 자제한다.
3) 스마트폰에서도 PC와 마찬가지로 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하시는 것을 권장 드립니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원

현재 "Resume" 라는 제목을 쓰는 악성스팸메일이 다수 유입되고 있으므로 주의가 필요합니다.

제목:
 
Resume

내용:
 Attached, please find

첨부파일:
 resume.html

[표 1] 스팸메일의 내용


악성스팸메일에 첨부된 "resume.html" 을 열게 되면 특정 url 로 리다이렉트되게 되는데, 웹페이지가 마치 윈도우 탐색기와 같은 모습을 하고 있으며, 자신의 컴퓨터가 감염된 것처럼 화면을 구성하여 링크된 악성파일을 다운받도록 유도합니다.



[그림 1] 윈도우 탐색기의 모습을 띄는 웹페이지



[그림 2] 클릭시 다운로드 되는 가짜백신



[그림 3] 악성코드의 아이콘

첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드를 첨부한 아래 제목의 스팸메일들이 유포되고 있으니 사용자들의 주의가 필요합니다. 해당 스팸메일들에 첨부된 파일들은 악성코드이며 절대 실행하지 않도록 당부드립니다.

New Taxes Coming
Sales Dept
Garages

[표 1] 악성코드를 첨부한 메일들의 제목


[그림 1] 악성코드를 첨부한 "New Taxes Coming" 제목의 스팸메일


[그림 2] 악성코드를 첨부한 "Sales Dept" 제목의 스팸메일

[그림 3] 악성코드를 첨부한 "Garages" 제목의 스팸메일

각각의 스팸메일에 첨부된 악성코드는 아래와 같은 파일들이 첨부되어 있으며 사용자에게 configuration 파일처럼 보이기 위해 configuration 파일 아이콘을 사용하였지만 확장자를 보면 실행파일 확장자인 exe 확장자를 가진 파일임을 알 수 있습니다.

[그림 4] "Sales Dept" 제목의 스팸메일에 첨부된 악성코드

[그림 5] "Sales Dept" 제목의 스팸메일에 첨부된 악성코드

[그림 6] "Garages" 제목의 스팸메일에 첨부된 악성코드

첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표 2] 메일 열람 안전 수칙




신고
Creative Commons License
Creative Commons License
Posted by 비회원

"Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다.

메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;;

Please find attached the new Word document.

첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.14848.TT


[그림1] 스팸메일에 첨부된 악성코드


[그림2] 첨부 파일 실행 시 접속되는 IP의 위치

스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Creative Commons License
Creative Commons License
Posted by 비회원

아래 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 메일 본문은 첨부한 악성코드를 확인하기 위해 첨부한 파일을 다운로드하여 실행하도록 사용자에게 유도하도록 작성되어 있으며 사용자들의 각별한 주의가 필요합니다.

Email Policy Violation
FROM [영문명 이름]


아래 링크에 포스팅 된 글에 기재된 첨부파일과 똑같은 형식의 파일 아이콘 형식이며 실행 시 FakeAV가 실행되어 허위 진단 후치료를 위해 사용자에게 결제를 유도합니다.

http://core.ahnlab.com/203





http://core.ahnlab.com/152

위 링크에 포스팅 된 글에서 언급해 드렸듯이 실행파일이 아닌 것으로 위장하는 파일들은 아래와 같이 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 옵션을 체크해제하면 확장명을 확인할 수 있으므로 문서 파일로 오인하고 실행하는 것을 사전에 예방할 수 있습니다.



스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원
금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다.

이 악성코드는 "AnhLaB 레지스터리 최적화 적용파일.exe" 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다.


아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다.

[그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면]


해당 악성코드는 아래그림의 아이콘과 "AnhLaB 레지스터리 최적화 적용파일.exe" 란 파일명을 사용하고, 크기는 336KB 정도됩니다.


[그림2. Ahnlab 제품으로 위장한 악성코드]



악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다.

[그림3. 악성코드 파일의 속성]



실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다.


[그림4. Ahnlab 에서 베포하는 Registry fix 전용백신]


파일 우클릭 -> 속성에서 확인하실 수 있듯이, 안철수연구소 제품은 전부 디지털 서명이 되어 있으므로, 안철수 연구소 프로그램으로 위장하는 악성파일과 손쉽게 구분하실 수 있습니다.


[그림5. 디지털 서명 확인]



※ 안철수연구소 관련 프로그램은 아래 그림처럼 공식홈페이지인 www.ahnlab.com 에서만 제공하므로, 다른 경로를 통해 받은 Ahnlab 관련 파일은 절대 실행하지 마시고 꼭 V3로 검사해보시기 바랍니다.



[진단 현황]
V3에서는 해당 악성코드에 대해 Win-Trojan/Cson.344932 으로 진단가능합니다.

[악성코드 예방법]
아래의 보안 10계명을 지켜, 악성코드로 부터 자신의 정보를 안전하게 지키시기 바랍니다.


PC 보안 10계명

 
1.
윈도 운영체계는 최신 보안 패치를 모두 적용한다

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫 자/특수문자 조합으로 6자 리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다


3.
해킹, 바이러스, 스 파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.


4.
웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서 비스를 이용해 예방한다.


5.
웹 서핑 때 '보안경고' 창 이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.


6.
이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.


7.
메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.


8. P2P
프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.


9.
정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.


10.
중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193
http://core.ahnlab.com/196

상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다.

지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다.

Delivery Status Notification (Delay)
Delivery Status Notification (Failure)

해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다.

Forwarded Message.html

첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다.



난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.








신고
Creative Commons License
Creative Commons License
Posted by 비회원