[악성스팸메일] Spam from your Facebook account Posted By ASEC , 2011년 5월 3일 2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해 엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27 Facebook Password Reset Confirmation! Support Message. 2010/02/14 updated account agreement 2009/12/26 “new login system”, “Facebook Update Tool” 2009/12/16 Facebook Password Reset Confirmation. Important Message 2009/10/29 , 스팸 메일 주의! 이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다. 메일제목 : Your password is changed 메일본문 Good afternoon Spam is sent from your FaceBook account. Your password has been changed for…
[악성스팸경고] my naked pic is attached Posted By ASEC , 2011년 4월 27일 아래 [그림1]과 같이 “my naked pic is attached” 제목으로 파일을 첨부한 스팸메일이 발견되고 있어 사용자들의 주의가 필요하다. 첨부된 악성코드 파일명은 아래 [그림2]와 같이 mypicture.scr이며 스크린세이버 파일 확장자를 가지고 있다. 또한 해당 파일은 [그림3] 과 같이 버전 정보나 디지털 서명은 존재하지 않는다. [그림1] 악성코드를 첨부한 악성 스팸 [그림2] 악성 스팸 메일에 첨부된 악성코드 [그림3] 첨부된 악성코드의 속성 해당 악성코드에 감염이 되면 아래 [그림4] 와 같이 “AntiVirus AntiSpyware 2011” 라는 허위백신 (fakeAV)이 시스템에 설치되게 된다. 결재를 유도하기 위해 시스템이 감염된 것으로 허위 경고를 지속적으로 한다. [그림4] AntiVirus AntiSpyware 2011 [그림5] 결재를 유도하기 위한 허위 경고 [그림6] 정상 윈도우 프로세스에서 쓰레드로 동작 중인 악성코드 발견된 악성코드는 V3에서 아래와 같은 진단명으로 진단/치료가 가능하다. Win-Trojan/Fakeav.58376 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.2. 안티바이러스(백신)…
사진을 클릭했을 뿐인데? 새로운 SEO Poisoning Attack Posted By ASEC , 2011년 4월 27일 예전에 블로그를 통해 SEO Poisoning Attack에 대해 소개한적이 있습니다.http://core.ahnlab.com/128이전에는 검색엔진에서 검색한 결과를 클릭하였을 시 악성코드가 삽입된 페이지로 이동하는 형태였습니다. 이러한 형태가 한동안 잠잠하다 최근에 새로운 유형의 공격이 확인 되었습니다. 최근에 “Presley Walker”, “Yuri Gagarin” 등 특정 인물 검색 시 아래와 같이 나타나는 사진을 클릭했을 뿐인데 악성코드가 삽입된 사이트로 이동되는 사례가 발견 되었습니다. 이러한 검색 결과로 나온 사진을 클릭하게 되면 아래와 같은 과정으로 허위로 악성코드가 감염되었다는 경고를 보여주며 파일을 다운로드 받아 실행하라는 메세지가 나오게 됩니다. 해당 파일을 실행하게 되면 아래와 같이 허위백신 설치가 진행되며 허위로 악성코드를 검출하여 치료를 위해 결제를 요구하게 됩니다. 현재 V3 제품군에서는 관련 악성코드를 아래와 같은 진단명으로 진단하고 있습니다. Win-Trojan/Downloader.147597 (2011.04.25.04) PDF/Exploit (2011.04.26.00) Win-Trojan/Downloader.10624.D (2011.04.26.00) Downloader/Win32.GenericDownloader/Win32.FraudLoad
악성메일, 당신의 중요한 정보를 노린다. Posted By ASEC , 2011년 4월 27일 특정 대상을 목표로 한 것으로 추정되는 악성코드가 첨부된 메일 유포 사례가 지속적으로 발생하고 있어 사용자들의 주의가 필요하다. 안철수연구소의 대응상태 현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있다. V3:2011.04.22.00: Dropper/Pcclient.868608(V3) Dropper/Pcclient.868608, 어떻게 유포될까? 이번에 발견된 것은 아래 메일형식을 사용하여 유포되었던 것으로 확인되었다. 제목: [긴급 통지] 본문: 긴급 통지 : 최근이 회사는 직원 중독을 분실 알 수 있다. 사무실 시스템 및 Office 소프트웨어를 업데이트하려면, 낯선 사람이 보낸 메시지를 열지 마십시오, 알 수 없는 사이트를 방문하지 마시기 바랍니다. 및 악성 소프트웨어에 대한 시작 항목을 모니터링. autoruns는 부팅 항목 소프트웨어 탐지 시스템의 sysinternals, 당신은 철저히 신속하게 알려지지 않은 바이러스의 존재를 확인할 수 있는 컴퓨터를 확인하는 경우 시간의 문제 첨부파일: check.exe 위 메일내용을 요약해 보면 “Sysinternals에서 개발한 Autoruns를 사용하여…
imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. Posted By ASEC , 2011년 4월 22일 지난 주말을 기점으로 최근에 보고된 Adobe Flash Player의 취약점(CVE-2011-0611)이용한 악성코드 유포 사례가 증가하고 있습니다. 해당 취약점을 통해서 유포되는 악성코드들 중에는 정상 imm32.dll을 교체하는 것들도 있는데 최근에 발견된 변종에서는 백신에서 또는 사용자가 수동 조치할 수 없도록 윈도우 OS에서 사용하는 특정 계정그룹에 대한 권한을 변경하는 것으로 확인되었습니다. 안철수연구소의 대응상태 현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있습니다. V3:2011.04.18.02 Dropper/Onlinegamehack.83456 / Win-Trojan/Patched.66048 전용백신 다운로드 전용백신 사용 시 주의사항 √ 전용백신의 폴더권한 변경은 XP에서만 동작 √ Vista, Windows 7에서는 감염 테스트 시 악성코드가 정상 동작 않음(블루스크린 발생) √ Windows 서버계열에서는 구성환경 및 권한정책 때문에 폴더권한 변경은 제외함 Dropper/Onlinegamehack.83456이 이용하는 취약점은? Dropper/Onlinegamehack.83456가 이용하는 취약점은 위에서도 언급되어 있지만 Adobe Flash Player의 취약점(CVE-2011-0611)입니다. 해당 취약점에 대한 추가 분석정보는 아래 주소에서 보실 수 있습니다. ▶…