오늘 spamer, spambot 등으로 불리는 광고성스팸메일을 뿌리는 악성코드에 상당수의 PC가 감염된 것이 확인되어 관련 내용을 안내해드립니다.

이 악성코드는 아래와 같이 wpv(숫자).exe 파일명으로 퍼져나가고 있습니다.

[사용된 파일이름]
wpv061278400375.exe
wpv791278399429.exe
wpv281278399926.exe
wpv631278400263.exe
wpv621278399510.exe
wpv431278399382.exe
wpv371278400097.exe
wpv511278400048.exe
wpv021278399804.exe
wpv541278400197.exe
wpv091278399986.exe


파일명으로 볼때 Bredolab 의 변종인 것으로 보이네요.

위 악성코드가 실행되면, 아래처럼 explorer.exe 에 ADS형태로 자신을 복사합니다.

C:\WINDOWS\explorer.exe:userini.exe
 
또한 Run 레지스트리에 등록하여 부팅시 악성코드가 실행되게 합니다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini                                                                           "C:\WINDOWS\explorer.exe:userini.exe" 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini                                                                                             "C:\WINDOWS\explorer.exe:userini.exe"

악성코드가 실행되면 아래화면과 같이 smtp(tcp/25번포트) 로 스팸메일을 발송합니다.



발송되는 메일은 아래와 같습니다. 많이 보던 화면일수도 있겠네요 :)


메일의 그림을 클릭하면 접속되는 페이지 역시 광고(성인약품)페이지입니다.



프로세스 익스플로러 로 보시면 userini.exe 가 explorer.exe 에 붙어서 동작중인 것을 보실 수 있습니다.


[악성코드 삭제방법]

V3Lite (www.v3lite.com) 와 같은 백신으로 검사하셔서 치료하시거나(진단명 Win-Trojan/Spambot.숫자)


gmer로 간단하게 제거하실 수 있습니다.


c:\windows\explorer.exe:userini.exe 를 찾아 Delete 를 누르고 재부팅 해주시면 됩니다.


[악성코드 예방법]

아래의 보안 10계명을 지켜, 악성코드로 부터 자신의 정보를 안전하게 지키시기 바랍니다.

PC 보안 10계명

 
1.
윈도 운영체계는 최신 보안 패치를 모두 적용한다

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다


3.
해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.


4.
웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서비스를 이용해 예방한다.


5.
웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.


6.
이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.


7.
메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.


8. P2P
프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.


9.
정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.


10.
중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

금일 UPS invoice(송장) 으로 위장한 악성스팸메일이 또 다시 유입되고 있어 사용자의 주의가 필요합니다.

제목:
UPS #2485355621

보낸사람:
UPS

본문:
Hello,
We were not able to deliver postal package you sent on the 29nd June in time
because the recipient’s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
Personal manager: Giovanni Smith,

첨부파일: UPS_INVOICE_06.2010.DOC.zip


제목:
UPS #6521056755

보낸사람:
UPS

본문:
Good morning,
We were not able to deliver postal package you sent on the 28nd June in time
because the recipient’s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
Personal manager: Gregory Boswell,



첨부파일: UPS_INVOICE_06.2010.DOC.zip


메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 UPS_INVOICE_06.2010.DOC.exe  파일이 생성됩니다.


그림과 같이 아이콘을 word문서로 꾸몄지만, 실제는 실행파일(pe파일) 이므로 낚이지 않도록 조심해야 합니다.
만약 실수로 실행시켰다면, 당황하지 마시고 사용하시는 안티바이러스 프로그램을 이용해 검사 및 치료하시기 바랍니다.
백신이 설치되지 않으셨다면, 아래 링크를 통해 V3Lite 를 설치하여 치료하시길 권합니다.

무료백신 V3Lite 설치

V3에서는 위 악성코드에 해당하는 파일을 아래와 같은 진단명으로 진단하고 있습니다.

Win-Trojan/Agent.60416.FV
Win-Trojan/Agent.19968.UB



아래의 사항들을 준수하여, 자신의 PC를 악성코드로부터 안전하게 보호하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193


위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다.

난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다.




game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다.

c:\windows\PRAGMA[랜덤한 문자]\

이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다.

v3alureon_gen_np.zip

검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다.




은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다.

작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성 스팸메일이 유포 중이니 주의하시기 바랍니다. 해당 스팸메일로 유포되는 악성코드 및 취약점 Exploit 파일은 곧 V3엔진에 업데이트 될 예정입니다.

[악성 스팸 메일 제목]
[랜덤한 메일 계정] has sent you a birthday ecard.
young limber girl
hello
Welcome to YouTube



<악성 html링크를 삽입한 랜덤한 메일 계정] has sent you a birthday ecard. 제목의 스팸메일>



<악성 html링크를 삽입한 Welcome to YouTube 제목의 스팸메일>





신고
Creative Commons License
Creative Commons License
Posted by 비회원
악성코드를 첨부한 아래 두 악성스팸메일이 유포되고 있는 것이 확인되어 사용자들의 주의가 당부됩니다.

Outlook Setup Notification
Thank you for setting the order No.[랜덤한 6자리 숫자]








첨부된 두개의 악성파일은 동일한 악성코드를 설치합니다. Protection Center 라는 FakeAV가 설치가 되며 바탕화면에 성인 사이트로 연결되는 링크 파일들을 생성하게 됩니다.



당 파일들은 현재 V3 제품에서 아래와 같은 진단명으로 진단하고 있습니다.
Win-Trojan/Alureon.36352.B



상기와 같은 의심스러운 메일을 수신하였을 경우 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 수집된 악성코드 유포 스팸메일 중, 첨부파일이 마치 해외보안업체의 바이러스 검사를 통과한 안전한 파일인 것처럼 위장하여 전송되는 스팸메일이 발견되어 안내드립니다.


 Re: my website
--------------------------------------------------------------------------------------------------

 Please read the document.


website.zip: No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com


위 그림처럼 website.zip 이 바이러스테스트를 통과한 것처럼 메일을 뿌려, 사용자가 안심하고 실행할 수 있게끔 유도하고 있습니다.

website.zip 압축파일 내에 존재하는 파일은 악성코드이므로 절대 첨부파일 실행하지 마시고, 메일 확인 즉시 삭제해주시기 바랍니다.



첨부 파일은 현재 V3 에서 Win32/Virut 으로 진단 및 치료 가능합니다.


항상 아래의 사항을 준수하여 악성코드에 감염되지 않게 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다
.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1.
현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다.

2. 감염 증상
허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다.

[그림1. 감염 생성되는 ]

 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다.

[그림2. Key 활성화 안내창]


트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close 눌러도 종료되지 않습니다.

[그림3. 트레이에 나타나는 아이콘] 

3. 조치 방법
현재 V3 제품에서 해당 허위백신을
Win-Trojan/Fakeav.743424 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 검사 치료를 진행해 보시기 바랍니다.

만일 V3 설치하지 않으셨다면, 아래의 링크를 통해 무료백신 V3lite 설치하여 치료하시기 바랍니다.


V3lite
바로가기 -
www.v3lite.com

수동으로 직접 조치를 원하시면 아래와 같이 진행하여 주십시오.

1. 시작->실행->Taskmgr 입력 후 gotnewupdate005.exe 를 프로그램 종료시킵니다.

2. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 :
http://asec001.v3webhard.com/IceSword.zip

3. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [
Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.

참고 : http://core.ahnlab.com/18

C:\Documents and Settings\my\Application Data\[숫자영문혼합]\gotnewupdate005.exe
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\hookdll.dll
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\enemies-names.txt


4. 시스템을
재부팅 합니다.

※ 현재 gotnewupdate005000.exe 등의 변종파일도 발견되고 있으니, 조치시 참고하시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다.
이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요.

메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요.

제목:
Your transaction has been processed


본문:

Your transaction has been processed by WorldPay, on behalf of Amazon Inc.

The invoice file is attached to this message.

This is not a tax receipt.

We processed your payment.

Amazon Inc has received your order,

and will inform you about delivery.

Sincerely,

Amazon Team




위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다.














제발 결제해달라고 아우성치는군요~^^
똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요?
만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다!

끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. V3와 같은 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

아마존 주문의 택배 메일을 가장한 메일이 유포되고 있습니다. 주문 상세정보를 확인하기 위해 첨부된 파일을 확인하라고 메일에 기재되어 있어서 사용자로 하여금 실행을 유도합니다.

 

 

실제로 메일에 첨부된 압축 파일을 압축해제해 보니아래와 같이 jpg 파일인 것처럼 사용자를 현혹시키네요                                                          

 

 

아래 링크의 이전 글에서 알려드린 것처럼 확장자  숨기기 옵션을 해제하면 아래 그림처럼 확장자를  확인할 수 있습니다. 다만 실행파일을 의미하는 .exe 와 사용자를 현혹시키기 위한 .jpg 사이에 많은 공백을 두어 사용자로 하여금 jpg 파일인 것처럼 속이려고 하기 때문에 확장자를 자세히 살펴보시기 바랍니다.


파일 확장자 숨기기 옵션 해제


첨부된 파일이 실행되면 대량의 스팸메일이 발송됩니다. 아래 그림은 네트워크 트래픽을 모니터링 한 그림이며 25번 port로 트래픽이 발생하는 것을 확인할 수 있습니다.

 



이 외 동일한 종류의 악성파일들이 발견되고 있으니 해당 스팸메일 수신 시 주의 하시기 바랍니다.

 

스팸메일에 첨부된 악성파일들은 Win32/Prolaco.worm.428032.B 진단명으로 V3에서 진단 및 치료가 가능합니다. 항상 아래 내용을 준수하여 스팸메일을 통해 유포되는 악성코드의 위험으로 부터 미연에 예방하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

 

 

신고
Creative Commons License
Creative Commons License
Posted by 비회원

eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^;

이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요!

아래는 메일의 내용입니다.

  • 메일 제목
You have received an eCard 
  • 본문 내용

Good day.
You have received an eCard
To pick up your eCard, click on the following link (or copy & paste it into your web browser):
http://micro.[삭제].com/ecard.zip
Your card will be aviailable for pick-up beginning for the next 30
days.
Please be sure to view your eCard before the days are up!
We hope you enjoy you eCard.
Thank You

링크를 통해 받은 파일의 압축을 해제하면 ecard.exe 가 나옵니다.

이번에도 ini 파일 아이콘으로 위장했네요.

위 파일은 V3에서 Win-Trojan/Agent.145920.AE(V3, 진단버전:2010.04.25.00)  로 진단됩니다.

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다.

이번 스팸메일에 사용된 제목은 Please attention!  입니다.

아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요!

Dear customer!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly.
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you,
DHL Delivery Services.

첨부된 압축파일을 해제하면 아래의 파일이 나옵니다.

 

이번에는 ini 파일 아이콘으로 위장하여 실행을 유도하고 있습니다.

위 스팸메일의 첨부파일은 V3에서 Win-Trojan/Downloader.135680.U 로 진단가능합니다.

 

 

항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원