네이트온 악성코드 안철수연구소 대응 현황 Posted By ASEC , 2010년 7월 20일 1. 개요 최근 네이트온을 통해 유포되는 악성코드가 계속해서 변종이 발견되고 있으며 금일에도 음악파일을 가장한 변종 악성코드가 확인이 되어 자세한 내용에 대해 공유하고자 해당 문서를 작성합니다. 2. 악성코드 전파 방법 네이트온 관련 악성코드의 전파 방법은 악성코드에 감염된 네이트온 사용자가 친구목록에 등록된 사용자에게 무작위로 쪽지나 대화창을 통해 유포가 되고 있습니다. 해당 악성코드는 보통 한국시간으로 주말 토요일, 일요일에 변종이 많이 발생되며 현재 안철수연구소에서는 실시간으로 변종을 확인하여 대응중에 있습니다.네이트온 악성코드는 주로 아래 그림과 같이 쪽지 혹은 대화창을 통해 URL을 알려주며 접속을 유도 하게 됩니다. 접속을 하게 되면 “파일명.RAR” 등의 파일명의 파일을 다운로드 하게 됩니다. 이 외에도 URL을 알려주지 않고 직접 파일을 전송하는 경우도 존재합니다. [그림] 네이트온을 통해 유포되는 악성코드 형태 3. 악성코드 파일 형태 주로 네이트온 악성코드는 쪽지나 대화창을 통해 URL이 전달되며 해당 URL로 접속 시…
요금명세서 및 쇼핑몰 메일을 위장한 악성코드 유포 메일 Posted By ASEC , 2010년 7월 20일 1. 개요 올해 6월경 요금명세서 및 쇼핑몰 관련 메일로 위장해서 유포하는 악성코드가 발견되어 그에 대한 내용을 공유하고자 문서를 작성합니다.2. 위장 메일 유형 메일을 통해 유포되는 악성코드는 평소 전달되는 정상적인 요금명세서 및 쇼핑몰 관련 메일로 위장하고 있으며 ActiveX 형태로 악성코드를 설치하게 끔 하는 형태 입니다. 따라서 주의하지 않는다면 누구나 쉽게 감염될 수 있으며 현재까지 발견된 메일은 아래와 같은 메일이 있습니다.유형 1) “OO은행 OO카드 2010년06월20일 이용 대금명세서입니다?” 라는 제목의 메일 [그림] OO카드 이용대금 명세서로 위장한 악성코드 유포 메일 [그림] 위 메일에서 [이용대금 명세서 보기] 메뉴를 선택 시 나타나는 화면 유형 2) “7월 이용대금 명세서” 라는 제목의 메일 [그림] 요금 명세서를 위장한 악성코드 유포 메일 유형 3) 쇼핑몰을 위장한 악성코드 유포 메일 [그림] 쇼핑몰을 위장한 악성코드 유포 메일 화면 유형 4) “[OOO]…
“Email Policy Violation”, “FROM Taylor Wallace” 메일 주의하세요! Posted By ASEC , 2010년 7월 15일 아래 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 메일 본문은 첨부한 악성코드를 확인하기 위해 첨부한 파일을 다운로드하여 실행하도록 사용자에게 유도하도록 작성되어 있으며 사용자들의 각별한 주의가 필요합니다. Email Policy ViolationFROM [영문명 이름] 아래 링크에 포스팅 된 글에 기재된 첨부파일과 똑같은 형식의 파일 아이콘 형식이며 실행 시 FakeAV가 실행되어 허위 진단 후치료를 위해 사용자에게 결제를 유도합니다. http://core.ahnlab.com/203 http://core.ahnlab.com/152 위 링크에 포스팅 된 글에서 언급해 드렸듯이 실행파일이 아닌 것으로 위장하는 파일들은 아래와 같이 폴더 옵션에서 “알려진 파일 형식의 파일 확장명 숨기기” 옵션을 체크해제하면 확장명을 확인할 수 있으므로 문서 파일로 오인하고 실행하는 것을 사전에 예방할 수 있습니다. 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여…
Postal Tracking #영숫자 / Western Union Transfer MTCN: 숫자 Posted By ASEC , 2010년 7월 14일 최근 html 첨부파일이 포함된 스팸메일이 다수 유포되다 다시 최근에 EXE 파일이 포함된 스팸메일이 발견되어 안내해 드립니다. 제목 : Postal Tracking #영숫자 Hello! We were not able to deliver postal package you sent on the 14th of March in time because the recipient's address is not correct. Please print out the invoice copy attached and collect the package at our office. Your United Parcel Service of America 제목 : Western Union Transfer MTCN: 숫자 Western Union Transfer MTCN: 숫자 Dear customer! The money transfer you have sent on the Wed, 14 Jul 2010 10:33:56 +0530 wasn't collected by the recipient. According to the Western Union regulation the transfers which are not collected in 15 days are to be returned to sender….
Ahnlab 프로그램으로 위장한 악성코드 주의! – AhnLaB 레지스터리 최적화 적용파일.exe Posted By ASEC , 2010년 7월 12일 금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다. 이 악성코드는 “AnhLaB 레지스터리 최적화 적용파일.exe“ 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다. 아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다. [그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면] 해당 악성코드는 아래그림의 아이콘과 “AnhLaB 레지스터리 최적화 적용파일.exe” 란 파일명을 사용하고, 크기는 336KB 정도됩니다. [그림2. Ahnlab 제품으로 위장한 악성코드] 악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다. [그림3. 악성코드 파일의 속성] 실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다. [그림4. Ahnlab 에서 베포하는 Registry fix 전용백신] 파일 우클릭 -> 속성에서 확인하실 수…
