메일을 통해 전파되는 악성코드 Posted By ASEC , 2010년 8월 5일 1. 서론 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.유형 1) Facebook 에서 발송한 메일로 위장한 경우 [그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 2) 구글에서 발송한 메일로 위장한 경우 [그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 3) 초대 E-Card로 위장한 경우 [그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일 유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우 [그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일 유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우 [그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일 위 5가지 유형의…
“report” 제목의 악성스팸메일 주의! Posted By ASEC , 2010년 8월 4일 현재 “report” 라는 제목의 악성스팸이 유입되고 있습니다. 악성스팸에 첨부된 파일은 이전 포스트 의 “Hello” 악성스팸에서 사용된 동일 샘플로, V3 에서 현재 차단/치료 가능합니다. – 메일 본문 see my report in attach 첨부된 압축파일을 압축해제하면 아래와 같은 아이콘을 사용하는 실행파일이 보이며, V3 제품에서 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
“Hello” 제목의 악성코드를 첨부한 스팸메일 주의! Posted By ASEC , 2010년 8월 4일 “Hello”라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다. 메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;; Please find attached the new Word document. 첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 [그림2] 첨부 파일 실행 시 접속되는 IP의 위치 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신)…
유니코드 문자열을 이용하여 문서파일로 위장한 악성코드 Posted By ASEC , 2010년 7월 25일 1. 서론 최근 유니코드를 이용하여 파일명을 변조하여 문서파일로 위장한 악성코드가 발견되어 정보를 공유하고자 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드는 메일에 첨부되어 전파되는 형태의 악성코드로 불특정 다수에게 전파되는 악성코드가 아닌 특정 시스템을 타켓으로 한 악성코드로 추정됩니다. 추정하기로 국가기관이나 대기업 등의 기밀 자료를 누출하기 위해 제작된 악성코드로 보이며 특정 사용자에게 메일에 첨부파일을 포함하여 전송 후 사용자가 첨부파일을 실행하게 되면 문서나 기타 정보를 누출할 것으로 추정되는 악성코드 입니다. 3. 악성코드 특징 해당 악성코드에서 가장 두드러 지는 특징은 조작된 파일명을 이용한다는 점입니다. 아래 그림은 윈도우에서 “알려진 파일형식의 파일 확장명 숨기기” 옵션을 해제한 상태로 본 화면 입니다. [그림] 탐색기의 확장자 관련 옵션 설정 값 [그림] 위 탐색기 옵션 상태로 본 악성코드 파일명 파일을 보면 확장자가 DOC인 것을 확인할 수 있습니다. 하지만 실제 해당 파일은 DOC가 아닌…
국내 SNS 미투데이를 이용하는 악성코드 종합 분석 Posted By ASEC , 2010년 7월 23일 1. 개요 최근 국내 SNS인 '미투데이'를 이용한 악성코드(이하 미투데이 악성코드)가 발견되어, 관련 샘플 분석 정보와 V3의 엔진 대응 현황에 대해 공유하고자 해당 글을 게시합니다.관련 기사 : “토종 SNS '미투데이' 이용한 악성코드 유포 발견 http://www.itdaily.kr/news/articleView.html?idxno=23977 2. 악성코드 전파 방법 미투데이 악성코드는 주로 국내 인터넷파일공유 사이트들(ex. 짱파일 등)을 통해 베포되며, 정상프로그램(utility 등)또는 mp3 음악파일에 악성코드 제작자가 만든 agent프로그램을 결합하여 정상프로그램과 함께 악성코드를 실행하는 수법을 사용하고 있습니다. 이와 같은 성질로 비추어 볼 때, 미투데이 악성코드는 향후에 다양한 변종이 생길 수 있다는 것을 예측할 수 있습니다. [그림 1] 미투데이 악성코드와 결합된 프로그램의 일부 3. 악성코드 분석 요약 Agent 에는 악성코드 제작자가 개설한 것으로 보이는 me2day 와 twitter 계정에 대한 URL 정보가 하드코딩되어 있습니다. agent는 이 하드코딩된 URL 을 일정 주기를 갖고 접속하여 명령(Command) 정보를 받아 수행하게 됩니다….
