광고를 가장한 악성코드 다운로드하는 HTML 첨부 스팸메일 주의! Posted By ASEC , 2010년 7월 10일 http://core.ahnlab.com/192http://core.ahnlab.com/193http://core.ahnlab.com/196 상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다. 지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다. Delivery Status Notification (Delay)Delivery Status Notification (Failure) 해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다. Forwarded Message.html 첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다. 난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.
Youtube 에서 발송한 메일로 위장한 악성스팸메일 주의 Posted By ASEC , 2010년 7월 9일 세계 최대의 동영상서비스인 Youtube 에서 발송한 메일처럼 위장한 악성 스팸이 또 다시 국내로 유입되고 있습니다. 만약, 메일에 첨부된 html 파일을 열게되면, 성인약품 광고 사이트 등 유해성 높은 url 로 접속되게 되오니 첨부파일을 절대 열지 마시길 당부드립니다. * 유입되는 스팸 메일의 제목 User comerke82 suggests you to become friends on YouTube User correctingynng4 suggests you to become friends on YouTube User counterpane733 suggests you to become friends on YouTube User searchinglyoup80 suggests you to become friends on YouTube User strumpetsvvv3 suggests you to become friends on YouTube * 본문 내용 User correctingynng4 suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also…
감염시 광고성스팸메일을 대량발송시키는 악성코드 주의! Posted By ASEC , 2010년 7월 7일 오늘 spamer, spambot 등으로 불리는 광고성스팸메일을 뿌리는 악성코드에 상당수의 PC가 감염된 것이 확인되어 관련 내용을 안내해드립니다. 이 악성코드는 아래와 같이 wpv(숫자).exe 파일명으로 퍼져나가고 있습니다. [사용된 파일이름] wpv061278400375.exe wpv791278399429.exe wpv281278399926.exe wpv631278400263.exe wpv621278399510.exe wpv431278399382.exe wpv371278400097.exe wpv511278400048.exe wpv021278399804.exe wpv541278400197.exe wpv091278399986.exe 파일명으로 볼때 Bredolab 의 변종인 것으로 보이네요. 위 악성코드가 실행되면, 아래처럼 explorer.exe 에 ADS형태로 자신을 복사합니다. C:WINDOWSexplorer.exe:userini.exe 또한 Run 레지스트리에 등록하여 부팅시 악성코드가 실행되게 합니다. HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunuserini “C:WINDOWSexplorer.exe:userini.exe” HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunuserini “C:WINDOWSexplorer.exe:userini.exe” 악성코드가 실행되면 아래화면과 같이 smtp(tcp/25번포트) 로 스팸메일을 발송합니다. 발송되는 메일은 아래와 같습니다. 많이 보던 화면일수도 있겠네요 🙂 메일의 그림을 클릭하면 접속되는 페이지 역시 광고(성인약품)페이지입니다. 프로세스 익스플로러 로 보시면 userini.exe 가 explorer.exe 에 붙어서 동작중인 것을 보실 수 있습니다. [악성코드 삭제방법] V3Lite (www.v3lite.com) 와 같은 백신으로 검사하셔서 치료하시거나(진단명 Win-Trojan/Spambot.숫자) gmer로 간단하게 제거하실 수 있습니다. c:windowsexplorer.exe:userini.exe 를 찾아 Delete 를 누르고 재부팅…
가짜 차량 세금을 사칭한 E-mail 주의! Posted By ASEC , 2010년 7월 5일 가짜 차량 세금으로 위장한 악성 스팸메일이 유입되고 있어 사용자의 주의가 필요합니다. 메일 제목에 car tax, car fee 를 포함한 이메일 주의! Good day! how you maybe have prepared hear, the Ministry of Transport will Adjustment a tax for your car. Please read attached documentation extensively, in the cease of economize on your finance. have a nice day! 메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 CAR_DOCUMENTATION.DOC.exe파일이 생성됩니다. 그림과 같이 아이콘을 word문서로 꾸몄지만, 실제는 실행파일(pe파일) 이므로 실행하지 않도록 조심해야 합니다. 만약 실수로 실행시켰다면, 당황하지 마시고 사용하시는 안티바이러스 프로그램을 이용해 검사 및 치료하시기 바랍니다. 백신이 설치되지 않으셨다면, 아래 링크를 통해 V3Lite 를 설치하여 치료하시길 권합니다. 무료백신 V3Lite 설치 V3에서는 위 악성코드에 해당하는 파일을 아래와 같은 진단명으로 진단하고 있습니다. Win-Trojan/Agent.60416.FV(V3) 아래의 사항들을 준수하여, 자신의 PC를 악성코드로부터 안전하게 보호하시기…
UPS #(숫자) 제목의 악성스팸메일 주의하세요! Posted By ASEC , 2010년 7월 2일 금일 UPS invoice(송장) 으로 위장한 악성스팸메일이 또 다시 유입되고 있어 사용자의 주의가 필요합니다. 제목: UPS #2485355621 보낸사람: UPS 본문: Hello, We were not able to deliver postal package you sent on the 29nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Giovanni Smith, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 제목: UPS #6521056755 보낸사람: UPS 본문: Good morning, We were not able to deliver postal package you sent on the 28nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Gregory Boswell, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 UPS_INVOICE_06.2010.DOC.exe 파일이 생성됩니다….
