안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

악성코드에서 USB와 같은 이동형 저장 장치를 자신의 복제본을 전파하기 위한 수단으로 사용되기 시작한 것은 이미 오랜전 일로 변해버렸다. 이러한 이동형 저장 장치를 악성코드 전파의 수단으로 사용되는 점은 과거 플로피 디스켓이 DOS 운영체제에 감염되는 바이러스의 전파 수단이 되는 것과 같은 동일한 선상에 있다고 할 수 있다.


이러한 USB와 같은 이동형 저장 장치로 인해 악성코드가 유포되었던 대표적인 사례들은 아래와 같이 정리 할 수 가 있다.


2010년 5월 21일 - 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포


2010년 6월 2일 - 독일에 수출된 삼성 바다폰에 감염된 악성코드


2010년 9월 10일 - 해외에서 이메일을 이용해 대량 유포된 Swisyn 웜


이러한 대표적인 사례들 외에도 다수의 악성코드들에서 USB와 같은 이동형 저장 장치를 악성코드 유포의 매개체로 하여 사용되었던 사례들이 존재하며, 현재까지도 이러한 사례들이 적지 않게 발견되고 있다.


2012년 12월 4일 국내 기업 고객을 통해 확인된 DorkBot 변형에서는 기존 이동형 저장장치와는 다른 형태의 Autorun.inf 파일을 생성하는 것이 발견되었다.


이 번에 발견된 DorkBot 변형 제작자는 백신(Anti-Virus) 소프트웨어에서 이동형 저장 장치 루트에 생성되는 Autorun.inf 파일을 탐지하기 위한 다양한 기법들이 포함된 것을 파악하고, 아래 이미지와 같이 실제 Autorun 관련 명령어들 사이에 다수의 쓰레기 데이터를 채워 놓고 있다.




이러한 다수의 쓰레기 데이터를 채움으로써 백신 소프트웨어의 탐지와 함께 분석을 지연시킬 목적으로 사용하는 특징이 존재한다.


이 외에 해당 DorkBot 변형은 공개되지 않은 프라이빗 패커(Private Packer)로 실행 압축 되어 있으며, 이를 풀게 되면 Visual C++로 제작된 코드가 나타나게 된다.


해당 악성코드가 실행이 되면  자신이 실행되는 영역이 다음과 같은 가상화 공간인지 확인 후 가상화 공간일 경우 실행을 중단하게 된다.


Qemu

VMWrare

VirualBox


만약 가상화 공간이 아니라면 감염된 시스템에 존재하는 정상 시스템 프로세스인 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 전체를 삽입하게 된다. 



그리고 자신의 복사본을 rwrttxx.exe (90,112 바이트) 라는 파일명으로 다음의 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고, 감염된 시스템에 USB와 같은 이동형 저장장치가 연결되어 있다면 악성코드 자신의 복사본인 DSCI4930.jpg (90,112 바이트)Autorun.inf (294,819 바이트) 파일을 생성 한 후, 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 파일들이 보이지 않게 숨기게 된다.


G:\AdobeReader\DSCI4930.jpg (90,112 바이트)

G:\autorun.inf (294,819 바이트)


만약 이동형 저장장치에 다른 폴더와 파일들이 존재할 경우, 해당 폴더와 파일명의 바로가기 파일(*.ink)을 생성 한 후, 이 역시 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 보이지 않게 만들게 된다.


감염된 시스템의 윈도우 레지스트리에 다음의 키 값들을 생성하여, 부팅 시마다 생성한 악성코드가 자동 실행 되도록 구성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고 감염된 시스템에서 실행 중인 전체 프로세스 리스트를 검사하여 시스템 모니터링 관련 유틸리티가 실행 중이라면 강제 종료를 수행하게 된다.


해당 악성코드는 감염된 시스템에서 다음의 URL 주소를 가진 C&C 서버로 접속을 수행하게 되나, 분석 당시에는 정상적인 접속이 이루어지지 않았다.


entceqipqujagjzp/ngrs/gate.php


해당 URL 주소를 가진 C&C 서버로 접속이 정상적으로 성공하게 되면, 공격자의 명령에 따라 다음의 악의적인 기능을 수행하게 된다.

시스템 재부팅
파일 다운로드 및 업로드
DDoS 공격(UDP, SYN) 시작 및 중단
운영체제 버전 정보
MSN, Gtalk, eBuddy, Facebook 메신저 프로그램을 이용한 악성코드 전파 시작 및 중단
FileZilla에 설정되어 있는 서버 주소 및 계정 정보 탈취

이외에 다음의 소셜 네트워크(Social Network) 웹 사이트들에 사용자 계정 세션이 활성화 되어 있을 경우, 해당 악성코드를 유포하기 위해 악성코드를 다운로드 가능한 게시물들을 세션이 활성화 된 사용자 계정으로 생성하게 된다.

Bebo.com 
Liknkedin.com
Myspace.com
Twitter.com
Facebook.com

그리고 감염된 시스템의 사용자가 다음 웹 사이트들에 로그인 하게 되는 경우, 사용자 계정명과 로그인 암호를 C&C 서버로 전달 하게 된다.

Webnames.ru, Live.com, Gmail.com, Yahoo.com, Zpag.es, Linkbucks.com, Adf.ly, Twodallarclick.com, Blockbuster.com, Netflix.com, Uploading.com, Fileserver.com, Hotfile.com, Therpiratebay.org, Bangbros.com, Naughtyamerica.com, Brazzers.com, Pornhub.com, Hackforums.net, Wmtransfer.com, Moneybooker.com, Paypal.com

이 번에 발견된 백신 제품의 탐지를 우회하기 위한 Autorun.inf 파일을 생성하는 DorkBot 변형은 V3 제품 군에서 다음과 같이 진단한다.

Win-Trojan/Klibot.90112

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다.

이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다.

아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다.


참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다.



이번에 발견된 FedEx를 위장한 악성스팸메일의 자세한 정보는 아래와 같다.

메일 제목
 - FedEx notification #048128258

메일 본문
 - Dear customer!
The parcel was sent your home address! And  it will arrive within  3
business  day!
More  information  and  the traching number are attached in document
below!
Thank you.
Best regards.
2011 FedEx International GmbH. All rights reserved.
첨부된 파일
 - 첨부된 파일은 PDF 파일이 아닌 exe 확장자의 실행파일이다.




첨부된 파일을 실행하게 되면 아래와 같은 "WindowsRecovery" 라는 이름의 FakeAV (허위백신)에 감염되게 되며 사용자의 시스템이 악성코드에 감염되었다는 허위 경고를 계속적으로 노출시켜 사용자의 불안감을 조장시킨 후 결재를 유도한다.


[그림1] 허위백신 WindowsRecovery

현재 V3 제품에서는 아래 진단명으로 해당 악성코드를 진단하고 있다.

FedEx.exe (18,432 bytes)
 - Win-Trojan/Agent.18432.YR


스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.










신고
Posted by 비회원
1. 서론

- 영문으로 수신된 E-mail 을 받게 되면 호기심이 생기기 마련이죠?
"E-mail 에는 어떤 내용이 있을까?"  "첨부 파일은 뭐지...?"  하는 생각에 무심코 열어보기 쉽죠?

- 이러한 사용자들의 호기심을 이용하여, 스팸메일에 악성코드가 포함되어 도착하곤 합니다.
더욱이 요즘은 스마트폰 1000만시대에 SNS 하나쯤은 사용하고 있을 것입니다.
이러한 사용자들을 겨냥한 악성코드가 끊임없이 나타나고 있어, 이에 대한 정보를 알려 드립니다.


2.  E-mail 본문 & 악성코드 파일

- FaceBook Service.에서 보낸것으로 위장하여, 비밀번호가 변경되었다는 안내.
아이콘은 문서파일 처럼 보여줌으로써, 사용자로 하여금 악성파일을 실행하도록 유도 합니다.
실제로 문서파일이 아니며, exe 확장자를 가진 실행파일 입니다.



[그림1] FaceBook Service 로 위장한 E-mail 내용

 


[그림2] E-mail 에 첨부된 악성코드



3. 증상

- Facebook_Password 파일이 실행되면, 이번엔 정상 문서 파일이 열립니다.
 (악성코드에 감염되지 않은것 처럼 사용자를 혼란시키기 위한 목적)


[그림3] 사용자를 속이기 위한 문서 파일(정상)


4. 악성코드의 목적
- 이 악성코드에 감염될 경우, 키로깅 기능으로 IE 프로세스를 감시하여, 사용자 계정 탈취를 시도합니다.



5. Help Me~!! Plz..
- 이와 같은 E-mail을 받았을때는 첨부파일을 실행하지 마시고,
[메일 내용]과 [첨부 파일]을 안철수연구소로 신고하여, 악성여부를 확인 받으세요.!!

 안철수연구소 바이러스 신고센터 바로가기

- 악성여부는 [MY보안센터]에서 확인 가능하며, 악성일 경우 V3 엔진에 반영합니다.
신고
Posted by DH, L@@
TAG facebook, Spam

1. 서론


지난 9월 트위터(Twitter) DM(Direct Message)를 이용하여 사이트를 전파하는 사례를 포스팅 한 적이 있습니다. 최근 유명 소셜 네트워크서비스(SNS)인 페이스북(Facebook)의 어플리케이션 기능을 통해 플래시게임 페이지로 유도하는 스팸성 글이 발견되었습니다. 트위터와 달리 페이스북은 사용자의 담벼락에 글을 남기는 것을 통해 플래시게임 페이지로 유도하고 있습니다. 이전사례와 마찬가지로 URL을 통한 악성코드 유포와 같은 방법으로 악용될 가능성이 있기 때문에 사용자의 주의가 요구됩니다.

 

 


2.
사이트 유도 방법 및 사례


1)
사이트 유도

 

자신의 담벼락 페이지에 아래와 같은 글이 남겨지게 됩니다.

 

[사례 1] 담벼락에 작성된 글


[사례 2] 담벼락에 작성된 글


해당 글을 클릭하게 되면 아래와 같이 어플리케이션을 허가할 것인지에 대한 페이지가 나타납니다.

  

 


[허가하기]를 누르게 되면 아래와 사례 1, 2 그림과 같이 특정 페이지가 나타납니다.

 

 [사례 1] 사용자 클릭 유도 페이지


[사례 2] 사용자 클릭 유도 페이지


가운데 'ENTRAR'을 누르게 되면 아래와 같은 스페인어로 이루어진 플래시게임 페이지(사례1)와 인터넷 시작 페이지 설정할 수 있는 메세지 창(사례2)이 나타납니다. 사례 1, 2에 해당되는 페이지에서는 악성코드 다운을 유도하거나 유포하는 악의적인 기능은 확인되지 않았습니다.
 

 

[사례 1] 플래시 게임 페이지


[사례 2-1] 시작 페이지 추가 메시지창

[사례 2-2] 시작페이지에 등록되는 특정 웹페이지


또한, 확인된 내용으로는 사례 1, 2와 같이 가운데 ENTRAR을 누르는 순간 아래 그림과 같이 등록되어 있는 친구의 담벼락에 자신이 받았던 글이 똑같이 게시되게 됩니다.


 [사례 1] 친구 담벼락에 게시된 글

 

[사례 2] 친구 담벼락에 게시된 글



3. Facebook
에 허가된 어플리케이션 삭제 방법

 

Facebook 메인 화면에서 [계정] → [개인 정보 설정]을 클릭합니다.

 

 

 

다음 페이지의 하단의 [설정 관리]를 클릭합니다.

 



 

다음 페이지에서 [설정 관리]를 클릭합니다. 

 



다음 페이지에 보면 Grupo라는 어플리케이션이 허가되어 있는 것을 볼 수 있습니다. 설정 관리 옆의 [x] 버튼을 눌러 삭제를 합니다.

 

 


[제거]를 선택합니다.

 

 

 

다시 한 번 사용자 어플리케이션 목록을 확인하면 Grupo가 삭제된 것을 확인 할 수 있습니다.

 

 

 

4. 주의 사항

 
이번 사례를 보면 사용자의 주의 없이 설치되는 Facebook의 특정 어플리케이션이 Facebook에 등록되어 있는 친구들의 담벼락에 플래쉬 게임 홍보구글 광고 페이지로 유도하는 이미지 링크를 남기는 것을 볼 수 있습니다.
이와 같은 방법으로 링크 클릭을 유도해서 악성코드 유포 사이트에 접속이 가능할 수 있으므로, Facebook 사용자분은 주의가 필요합니다. Facebook 쪽지나 담벼락을 이용한 유포되는 출처가 불분명한 이미지 링크 및 URL은 절대 클릭하지 않는 것을 권장합니다.



                                                                                                                                         - Suksuny
                                                                                                                                         - dada319

신고
Posted by 비회원
1. 서론
 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다.


2. 전파 경로
 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.

유형 1) Facebook 에서 발송한 메일로 위장한 경우

[그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일



유형 2) 구글에서 발송한 메일로 위장한 경우
 
[그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일


유형 3) 초대 E-Card로 위장한 경우
 
[그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일


유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우

 
[그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일


유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우

 
[그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일


위 5가지 유형의 메일이 현재 발견된 메일이며 첨부된 ZIP 파일 목록은 아래와 같습니다.


[그림] 첨부된 악성코드 파일명


위 압축 파일을 해제하면 아래와 같은 파일이 존재합니다. 해당 파일의 특징은 “document.[pdf 또는 jpg 또는 chm][다수의 스페이스].exe” 파일명을 가지고 있으며 다수의 스페이스를 파일명에 삽입하여 EXE 파일을 다른 파일처럼 위장을 하고 있는 것이 특징입니다.


[그림] 다수의 스페이스를 삽입하여 jpg, chm. pdf 파일로 위장하고 있는 악성코드



3. 감염 증상
 우선 해당 악성코드 감염이 되면 가장 두드러 지게 나타나는 증상은 25번 포트로 다수의 패킷이 발생하는 증상입니다. 이유는 해당 악성코드 감염 시 다수의 스팸메일을 발송하기 때문입니다.

[그림] 25번 포트로 다수의 패킷이 발생하는 화면


그리고 아래와 같은 파일을 생성하게 됩니다.


C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
[표] 악성코드로 인해 생성되는 파일


생성되는 파일 중 눈에 띄는 특징은 Firefox 브라우져 경로에 몇몇 파일을 생성한다는 점입니다. 해당 파일들은 Firefox 애드온 관련 파일로 아래와 같은 애드온이 설치되게 됩니다.


[그림] 악성코드로 인해 설치되는 Firefox 애드온


해당 애드온은 Adobe 사의 Flash Plugin으로 위장을 하고 있지만 실제로은 악성 애드온이며 해당 애드온의 기능은 Google 이나 Bing 등의 검색엔진에서 검색 시 검색결과를 조작하여 보여주는 기능입니다.



4. 대응 현황
 현재 V3 제품군에서는 아래와 같은 진단명으로 해당 악성코드를 진단하고 있습니다. 스마트 업데이트를 통해 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

ASD.Prevention
Win-Trojan/Banload.610304.D
[표] 해당 악성코드에 대한 V3 제품군 진단명



5. 수동 조치 방법

 가급적 V3 제품을 통해 조치하는 것을 권장드리지만 수동으로 조치를 하고자 하신다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.

1) 아래 안내해 드리는 링크에서 GMER 프로그램을 다운로드 합니다.
GMER 다운로드 링크 : http://gmer.net/gmer.exe

2) GMER 프로그램 실행 후 상단의 “>>>” 탭을 선택하면 메뉴가 나타나게 됩니다. 메뉴 중 [Files] 탭으로 이동합니다.


 
3) File 탭에서 아래 안내해 드리는 파일을 찾아 삭제를 하시기 바랍니다. 만약 아래 안내해 드리는 파일이 존재하지 않는다면 무시하셔도 됩니다.

C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe



4) 파이어폭스 실행 후 부가기능에서 악성코드로 인해 설치된 부가기능을 제거 하시기 바랍니다.

 


5) 위 작업을 모두 마치셨다면 시스템을 재부팅 하시기 바랍니다.



6. 결론
 최근 메일을 통해 유명 SNS인 Facebook이나 Twitter 혹은 유명 기업을 사칭하여 메일을 발송해 악성코드를 전파하는 메일이 다수 발견되고 있습니다. 사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표] 메일 열람 안전 수칙

신고
Posted by 비회원

"Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다.

메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;;

Please find attached the new Word document.

첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.14848.TT


[그림1] 스팸메일에 첨부된 악성코드


[그림2] 첨부 파일 실행 시 접속되는 IP의 위치

스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원

또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다.

비밀번호를 재설정하라는 제목으로

"Facebook Password Reset Confirmation. Important Message"

유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다.



아래는 악성 스팸 메일 본문 내용입니다.


Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.



V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다.



Facebook_Password_[랜덤한 숫자].exe
    - Win-Trojan/Bredolab.27648.L


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고
Posted by 비회원
Facebook 메일을 위장한 아래 그림의 스팸 메일이 발송되고 있습니다. 필자도 페이스북을 사용하고 있는데 실제 페이스북 UI와 흡사하여 실제 사이트인지 분간하기 어려웠습니다. 하지만 특정 사이트에서 업데이트 파일을 수신하라고 직접 메일을 보내는 경우는 보기 드물고 해당 사이트의 홈페이지 공지 등에서 관련 내용이 없다면 의심해 보아야 할 것입니다.


상기 스팸메일 내 "Update" 버튼이나 "here" 부분을 클릭하면 아래 페이지로 이동하게 됩니다.


상기 페이지에 email과 password를 임의로 입력하여도 접속이 되며 아래 페이지로 이동하게 됩니다.


상기 그림에서 빨간색 네모 안의 "updatetool.exe" 파일을 다운로드하고 설치하게 유도를 합니다. 하지만 다운로드한 파일은 업데이트를 위한 파일이 아닌 V3에서 아래 진단명으로 진단하는 악성파일입니다.

updatetool.exe 
 -  Win-Trojan/ZBot.105472.C

최근에 계속 연재하고 있는 스팸메일들을 보면 사회공학적 기법들을 많이 사용하고 있습니다. 신뢰할 수 있는 사람이나 기업에서 보낸 메일처럼 위장하여 악성파일을 다운로드하여 실행하게 하거나 계정정보를 탈취하고 있습니다.


신고
Posted by 비회원