악성코드 정보

Myspace Password Reset Confirmation! Your Support

Posted By ,

Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다. 제목 : Myspace Password Reset Confirmation! Your Support Hey , , , , , , , , Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. Thanks, The Myspace Team. 첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다. 허위백신으로 인한 증상 및 조치 방법 : http://core.ahnlab.com/135…

Rootkit을 찾아서~! – IceSword 편

Posted By ,

오늘은 Rootkit의 천적(?)이라 할 수 있는 Icesword에 대한 이야기입니다! 여기서 천적이라고 말한 이유는 북경 과학기술 대학교 pjf에서 Rootkit 제거 목적으로 만들었기 때문입니다. 그럼 Rootkit 전담반 Icesword에 대해 알아볼까요~ ▶ 다운로드 IceSword는 구글링을 통해 쉽게 다운 받을 수 있습니다. 제작자의 공식 블로그로 알려져 있으나 현재는 접속이 안되네요 ^^; (http://www.blogcn.com/user17/pjf/index.htm) ▶ 소개 IceSword는 앞서 말씀드린것과 같이 루트킷 제거를 목적으로 만들어진 tool로서 중국어 버전과 영어  버전이 있으며 이 글에서는 1.22버전(영문)으로 진행하도록 하겠습니다. IceSword는 루트킷 분석에 있어 훌륭한 tool임에는 틀림이 없지만 그 에 앞서 많은 학습이 우선되어야 합니다. 별도의 백업을 하는 방법이 존재하지 않기 때문입니다. 하여 블로그의 취지와 걸맞게 이 글에서는 IceSword의 소개와 각 기능에 대한 대략적인 설명 정도만 다룰 것임을 알려드립니다~^^  ▶ 기능 설명 1)   Process 실행되고 있는 프로세스의 목록을 보여주며 파일주소, 숨겨진 프로세스까지 확인되는데요. 이 기능을 사용하여 프로세스들을 쉽게 제거 할 수…

*도메인* account notification

Posted By ,

도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다. 제목: *도메인* account notification Dear Customer, This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account. We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions (C) *도메인* 위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다. 예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다. 그리고 위…

sysinternals에서 배포하는 작지만 강한 tool (1) – whois 편

Posted By ,

오늘은 sysinternals에서 무료로 배포하는 tool중 whois라는 아주 간단한 프로그램에 대해 알아보겠습니다. whois는 이 전에도 소개해 한적이 있는 Mark Russinovich의 작품입니다.^^ ▶   다운로드 더보기 접기 http://technet.microsoft.com/en-us/sysinternals/bb897435.aspx 접기 ▶   소개 whois라는 이름만으로도 무엇을 하는 녀석인지 예상이 가듯, 이 녀석은 도메인이름 등록인 및 연락처, 국내 IP 주소의 사용기관 및 연결 ISP에 대한 정보 등을 알려주는 Networking Utilities 입니다. whois는 해당 도메인 이름이 이미 다른 사람에 의해 사용중인지, 아니면 자신이 신청할 수 있는지를 확인하는 용도로도 많이 쓰입니다. 만약, 자기가 생각하고 있는 어떤 도메인 이름을 whois 에 입력했을 때 아래와 같은 메시지가 나오면, 그 도메인은 새로 신청할 수 있는 도메인으로 간주할 수 있습니다. 이런 기능을 이용하면 도메인 신청시 유용하게 쓰일 수 있으며 또 한, 보안측면에서도 해당 도메인의 정보를 알아내는 작업으로 이용할 수도 있겠습니다. 그럼 whois를 통해 관련 정보를 확인해 보도록 합니다! 어떤 도메인의 소유자가…

“DHL…”과 “YOUR TEXT” 악성 스팸메일 경고!

Posted By ,

4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다. 3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다. DHL Services. Get your parcel NR.9195DHL Express. Please get your parcel NR.8524 DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다. YOUR TEXT 악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요. 첨부된 악성 파일들을 다운로드하여 압축해제하면 오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게 워드 문서인 것 처럼 보이게 합니다. 각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다. 파일명 : DHL_label_5893.exe 진단명 : Dropper/Malware.59392.GC 파일명 : File.exe 진단명 : Win32/MyDoom.worm.32256 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여…