예전에 페이스북 사이트를 가장한 악성파일을 첨부한 스팸 메일 기억나시나요?

이번 피싱메일도 페이스북 사이트를 가장하는데 이전과 다르게 피싱으로 계정 등과 같은 개인 정보를 수집하는 목적으로 유포되고 있습니다.

흡사 페이스북 사이트와 유사하여 쉽게 피싱을 당할 수 있으니 PC 사용자들의 주의가 당부됩니다.

현재 유포되고 있는 악성 피싱 메일의 제목은 아래와 같습니다.

new login system
Facebook Update Tool

제목은 상이하지만 메일 본문은 아래와 같이 동일한 내용입니다.

facebookDear Facebook user,
In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security.
Before you are able to use the new login system, you will be required to update your account.
Click here to update your account online now.
If you have any questions, reference our New User Guide.Thanks,
The Facebook TeamUpdate your Facebook account
Update
This message was intended for
XXXXXXX@ahnlab.XXXX <-- 수신한 사용자의 이메일 계정
Facebook's offices are located at 1601 S. California Ave., Palo Alto, CA 94304.

메일 본문 내 링크를 클릭하게 되면 아래의 페이스북을 가장한 사이트로 이동하게 됩니다. 임의의 비밀번호를 입력하더라도 인증없이 다음 페이지로 넘어가게 됩니다.


아래 페이지로 넘어온 후 한번 더 개인 정보를 입력하는데, 이 역시 아무런 정보를 입력하더라도 성공 메세지가 출력되게 됩니다.


개인 정보를 입력한 후에는 원래의 페이스북 페이지로 이동하게 됩니다.



1. 피싱 사이트를 진단하고 차단할 수 있는 프로그램을 설치합니다.



[안철수연구소 제품인 SiteGuard에서 피싱 사이트를 차단한 화면]


2. 메일 본문 내 링크는 가급적이면 직접 클릭하지 마시고 해당 사이트의 주소를 직접 입력하여 접속합니다.





신고
Posted by 비회원

또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다.

비밀번호를 재설정하라는 제목으로

"Facebook Password Reset Confirmation. Important Message"

유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다.



아래는 악성 스팸 메일 본문 내용입니다.


Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.



V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다.



Facebook_Password_[랜덤한 숫자].exe
    - Win-Trojan/Bredolab.27648.L


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고
Posted by 비회원

"State Vaccination Program" 이란 제목의 악성 링크를 삽입한 스팸메일이 유포 중입니다.

스팸메일의 본문은 아래와 같으며 빨간색 박스로 표시한 부분에 악성링크가 삽입되어 있습니다.



위 그림에서 빨간색 박스 내 링크를 클릭하게 되면 아래의 페이지로 이동하게 됩니다. 아래 페이지에서 특정 파일을 다운로드하도록 지시합니다.




다운로드 된 파일은 V3에서 아래와 같이 기진단되고 있습니다.


vacc_profile.exe 
 - Win-Trojan/ZBot.130560.C(V3)


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.





신고
Posted by 비회원
1. 개 요
최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다.


2. 증 상
컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다.




3. 조치 방법
1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다.



2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다.
HKEY_LOCAL_MACHINE\
                         SOFTWARE\
                                    Microsoft\
                                           Windows NT\
                                                       CurrentVersion\
                                                                          Winlogon



3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:\RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다.



4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


5) Ice Sword를 실행하여 [File] 탭으로 이동합니다.



6) File 탭에서 이전에 이전에 레지스트리 편집기에서 Taskman 값에 기록된 경로로 이동합니다.
예) C:\RECYCLER\S-1-5-21-1202660629-1214440339-725345543-1003


7) 해당 경로로 이동하여 nissan.exe 파일을 찾아 마우스 오른 클릭 후 [force delete]를 선택하여 삭제합니다.


8) 해당 바이러스는 이동형 USB 디스크 장치를 통해 전파되는 Autorun 계열 악성코드 이므로 http://core.ahnlab.com/43 글을 참고하여 재감염을 예방하시기 바랍니다.

9) 마지막으로 컴퓨터를 재부팅 합니다.


신고
Posted by 비회원

"Your credit balance is over its limit"   제목의 악성파일을 첨부한 스팸메일이 유포 중입니다.

해당 스팸 메일의 본문은 아래와 같습니다.

Dear Verizon Wireless customer,
Your credit balance is over its limit. Please use the attached Verizon Wireless Balance Checker Tool to review and analyze your payments.
Yours sincerely,
Verizon Wireless Customer Services

해당 스팸메일에 첨부된 악성파일은 아래와 같으며 V3에서 기진단되고 있습니다.

balancechecker.exe
 - Win-Trojan/Zbot.25088

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.


신고
Posted by 비회원
콘피커 웜이 퍼지고 있으며 첨부된 파일로 스캔을 권유하는 악성 스팸메일이 유포되고 있습니다.
해당 스팸메일의 본문은 아래와 같습니다.

Dear Microsoft Customer,
Starting 12/11/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division


이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서 진단되고 있으니 감염 시 수동 검사를 통하여 진단/치료해 주시기 바랍니다.

3YMH6JJY.exe : Win-Trojan/Cutwail.55296

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.


신고
Posted by 비회원
DHL을 가장하여 악성파일을 첨부한 메일이 다시 스팸메일로 전파되고 있습니다.

해당 스팸 메일의 본문은 아래와 같습니다.


Dear customer!
The courier company was not able to deliver your parcel by your address.
You may pickup the parcel at our post office personaly.
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.
Thank you for attention.
DHL Express Services.


이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서 진단되고 있습니다.

3YMH6JJY.exe 
 - Win-Trojan/Downloader.56320.CP

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.



신고
Posted by 비회원
TAG Spam, V3, 스팸

UPS를 가장한 스팸메일이 발견되고 있습니다. 해당 메일은 inv.exe 라는 악성 파일을 첨부하고 있습니다.

메일 본문은 아래와 같습니다.

Dear customer!
Unfortunately we were not able to deliver the postal package which was sent on the 20th of June in time
because the addressee's address is incorrect.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service of America.


해당 파일은 현재 V3에서 아래와 같이 진단을 하고 있습니다.

Win-Trojan/Downloader.51200.AL(V3)

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.
신고
Posted by 비회원
TAG UPS, V3, 스팸

안철수연구소 ASEC대응팀에서는 Active Honeypot 모니터링을 통해서 "부팅불가 & 검은화면에 마우스" 악성코드의 변종이 여러 사이트에서 유포중임을 인지하여 V3 엔진에 반영하였으며 V3로 진단/치료가 가능합니다.

Win-Trojan/Daonol.46080
Win-Trojan/Daonol.71168
Win-Trojan/Kates.71168
Win-Trojan/Kates.49152
Win-Trojan/Daonol.48640


1.
자체 테스트한 결과 이번 변종에서 수정된 사항은 아래와 같다.

(1)
기존의 변종들에 존재하는 버그로 인해서 부팅이 안되던 현상은 이번 변종에서는 해결되어
감염되어도 부팅이 정상적으로 가능하였다.

(2) 기존의 변종들이 실행될때 추가한 레지스트리 값이 이번 변종에서는 시스템에 따라 은폐되어 보이지 않을 수도 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
midi9




2. 수동 조치 방법

1) V3 실시간 검사를 일시 중지함.
2)
아래의 툴을 다운로드하여 등록된 레지스트리 키값 "midi9" data값 확인
.

[IceSword 다운로드]
 

* 주의
midi9
키값에 등록된 Data 값에 실제 악성파일 경로와 파일이름이 등록되어 있습니다. 등록되는 파일 이름과 파일이 저장된 경로가 랜덤하므로 아래 "midi9 키값에 등록된 데이터 값 예제 그림파일" 링크를 클릭하셔서 그림 내 빨간 네모 박스 안의 값을 반드시 확인해 주시기 바랍니다.


[
삭제할 레지스트리 키값
]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\<font color=blue>midi9</font>
 
 
[midi9 키값에 등록된 데이터 값 예제 그림파일]

 
3) "midi9"
레지스트리 키값을 삭제 후 시스템 재부팅
.
4)
재부팅 후 IceSword 툴을 실행하여 아래의 파일을 삭제

[삭제할 파일]
2)
번에서 확인한 midi9키값에 등록된 데이터 값


3. 사용하는 취약점

MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx

Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx

Adobe Reader / Acrobat AcroPDF ActiveX Control 취약점


4.
감염시 증상은 아래 URL에 나와 있는 기존 분석정보와 거의 유사하다.

http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28059
http://core.ahnlab.com/58

 

 

신고
Posted by 비회원
아래 그림과 같이 UPS 메일인 것처럼 위장하고 파일을 첨부하여 스팸메일을 발송하고 있습니다.



아래 그림은 첨부된 파일이며  V3에서 아래 진단명으로 진단을 하게 됩니다.

Win-Trojan/ZBot.104960.E

V3엔진은 항상 최신버전인지 확인해 주시고 만약, 아래 악성파일을 실행시켜 감염이 되셨다면 V3  수동검사를 통하여 삭제해 주시기 바랍니다.


신고
Posted by 비회원
TAG UPS, V3, 스팸