악성코드 정보

[악성스팸경보] FedEx 메일을 위장한 악성스팸!

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다. 이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다. 아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다. 2009/10/20 Fedex Tracking [숫자] 참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다. 2010/07/02 UPS #(숫자) 제목의 악성스팸메일 주의하세요!  2010/01/12 UPS Delivery Problem NR.숫자 (2) 2009/11/06 [주의] “UPS Delivery Problem” 스팸 메일 (2) 2009/10/28 “UPS Invoice 5305325782943” 스팸 메일 주의! (1) 2009/11/11 [악성 스팸메일 주의!] “DHL Tracking Number 3YMH6JJY” (1) 2009/10/20 DHL service. Please get your parcel. Delivery NR.[숫자] (9) 2009/10/16 DHL…

imm32.dll 패치하는 악성코드, Win32/Parite와 함께…

최근에 해킹된 웹 사이트를 통해서 유포되는 imm32.dll 패치하는 악성코드가 Win32/Parite에 감염된 채로 유포되는 사례가 있었다. 이와 관련된 악성코드들에 대해서 현재 안철수연구소는 아래와 같이 대응하고 있다.   안철수연구소의 대응상태 V3:2011.05.08.00 이후 엔진버전이면 아래 악성코드들에 대해서 진단 및 치료가 가능하다   Win32/Parite Dropper/Win32.OnlineGameHack Win-Trojan/Patcher.90112.F Win-Trojan/Patched.CO  

[악성스팸메일] Spam from your Facebook account

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27   Facebook Password Reset Confirmation! Support Message. 2010/02/14   updated account agreement 2009/12/26   “new login system”, “Facebook Update Tool” 2009/12/16   Facebook Password Reset Confirmation. Important Message 2009/10/29   , 스팸 메일 주의! 이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다. 메일제목 : Your password is changed 메일본문 Good afternoon Spam is sent from your FaceBook account. Your password has been changed for…

[악성스팸경고] my naked pic is attached

아래 [그림1]과 같이 “my naked pic is attached” 제목으로 파일을 첨부한 스팸메일이 발견되고 있어 사용자들의 주의가 필요하다. 첨부된 악성코드 파일명은 아래 [그림2]와 같이 mypicture.scr이며 스크린세이버 파일 확장자를 가지고 있다. 또한 해당 파일은 [그림3] 과 같이 버전 정보나 디지털 서명은 존재하지 않는다. [그림1] 악성코드를 첨부한 악성 스팸   [그림2] 악성 스팸 메일에 첨부된 악성코드 [그림3] 첨부된 악성코드의 속성 해당 악성코드에 감염이 되면 아래 [그림4] 와 같이 “AntiVirus AntiSpyware 2011” 라는 허위백신 (fakeAV)이 시스템에 설치되게 된다. 결재를 유도하기 위해 시스템이 감염된 것으로 허위 경고를 지속적으로 한다. [그림4] AntiVirus AntiSpyware 2011 [그림5] 결재를 유도하기 위한 허위 경고 [그림6] 정상 윈도우 프로세스에서 쓰레드로 동작 중인 악성코드 발견된 악성코드는 V3에서 아래와 같은 진단명으로 진단/치료가 가능하다. Win-Trojan/Fakeav.58376 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.2. 안티바이러스(백신)…

사진을 클릭했을 뿐인데? 새로운 SEO Poisoning Attack

예전에 블로그를 통해 SEO Poisoning Attack에 대해 소개한적이 있습니다.http://core.ahnlab.com/128이전에는 검색엔진에서 검색한 결과를 클릭하였을 시 악성코드가 삽입된 페이지로 이동하는 형태였습니다. 이러한 형태가 한동안 잠잠하다 최근에 새로운 유형의 공격이 확인 되었습니다. 최근에 “Presley Walker”, “Yuri Gagarin” 등 특정 인물 검색 시 아래와 같이 나타나는 사진을 클릭했을 뿐인데 악성코드가 삽입된 사이트로 이동되는 사례가 발견 되었습니다. 이러한 검색 결과로 나온 사진을 클릭하게 되면 아래와 같은 과정으로 허위로 악성코드가 감염되었다는 경고를 보여주며 파일을 다운로드 받아 실행하라는 메세지가 나오게 됩니다. 해당 파일을 실행하게 되면 아래와 같이 허위백신 설치가 진행되며 허위로 악성코드를 검출하여 치료를 위해 결제를 요구하게 됩니다. 현재 V3 제품군에서는 관련 악성코드를 아래와 같은 진단명으로 진단하고 있습니다. Win-Trojan/Downloader.147597 (2011.04.25.04) PDF/Exploit (2011.04.26.00) Win-Trojan/Downloader.10624.D (2011.04.26.00) Downloader/Win32.GenericDownloader/Win32.FraudLoad