악성코드 정보

악성코드 대응! – TCP View 편 (2)

안녕하세요. ^^   오늘은 TCPView로 악성코드의 동작을 모니터링 해보고, 그에 따른 대응법을 알아보겠습니다. 이전 글에서 TCP View의 기능에 대해서 설명 드렸기 때문에 본 글에서는 별도의 기능 설명 없이 바로 진행하겠습니다!   오늘 시연에 사용될 악성코드는 악의적인 네트워크 트래픽을 다량 발생시키는 녀석으로서 V3에서는 아래의 진단명으로 진단하고 있습니다.   [그림-1 진단명]   그럼, 이 녀석을 실행시켜 어떤 동작을 하는지 살펴볼까요? 악성코드의 실행 후 아래 화면과 같이 다량의 TCP 패킷을 발생되고 임의의 URL로 접속하는 것을 확인 할 수 있습니다.   [그림-2 다량의 패킷 발생]   해당 URL에 대한 도메인 정보는 whois를 통해서 확인 할 수 있으며, 이 내용은 이전 “whois편”에서 소개해 드렸으니 관련 글을 참고하세요. ^^   여기서, 깔끔한 정보 확인을 위해 화살표 모양 같은 아이콘을 클릭하여 루프백을 제외한 현재 연결된 정보만 보도록…

“Thank you from Google!”, “You Received Online Greeting Card”, “New resume.” 스팸 주의!

이번주에 유독 스팸메일을 통해 악성코드가 유포되는 사례가 많이 발견되어 안내해 드립니다. 제목 : Thank you from Google! We just received your resume and would like to thank you for your interest in working at Google. This email confirms that your application has been submitted for an open position. Our staffing team will carefully assess your qualifications for the role(s) you selected and others that may be a fit. Should there be a suitable match, we will be sure to get in touch with you. Click on the attached file to review your submitted application. Have fun and thanks again for applying to Google! Google Staffing 첨부파일 : document.pdf .exe 제목 : You Received Online Greeting Card 첨부파일 : setup.zip 제목…

네트워크 상태 보기! – TCP View 편 (1)

오늘은 저희 블로그를 찾아주신 “나”님의 요청으로 TCP View라는 tool을 소개할까 합니다! TCP View는 TCP와 UDP의 연결 상태를 확인 할 수 있는 네트워크 모니터링 tool로서 실행중인 프로세스와 연결된 네트워크의 Local Address와 Remote Address 정보를 알려줍니다. TCP View의 이와 같은 기능을 통해 악성코드의 네트워크 동작 여부를 실시간으로 모니터링 할 수 있으며 실행중인 프로세스를 직접 종료 또는 연결을 끊을 수도 있습니다.   그럼, 오늘도 악성코드를 잡기 위해 달려보시죠~!   ▶ 다운로드 http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx   

[스팸주의] Your transaction has been processed

오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다. 이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요. 메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요. 제목: Your transaction has been processed 본문: Your transaction has been processed by WorldPay, on behalf of Amazon Inc. The invoice file is attached to this message. This is not a tax receipt. We processed your payment. Amazon Inc has received your order, and will inform you about delivery. Sincerely, Amazon Team 위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다. 제발 결제해달라고 아우성치는군요~^^ 똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요? 만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다! 끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다. 1….

문서 파일에 포함된 악성코드 주의!

메일을 이용하여 메일을 유포하는 방식 중 문서 파일을 이용하여 악성코드를 감염시키는 메일이 확인되어 안내해 드립니다. 이러한 기법은 예전에 발견된 내용이나 블로그에 따로 소개해 드린적이 없어 안내해 드립니다. 이러한 메일은 대부분 첨부파일로 DOC 파일 혹은 RTF 파일이 첨부되게 됩니다. 해당 첨부파일을 열면 아래와 같이 나타나게 됩니다. [그림 1. Microsoft Office 가 설치되어 있지 않은 경우] [그림 2. Microsoft Office 가 설치되어 있는 경우] 만약 시스템에 마이크로스프트 오피스가 설치되어 있으면 아래와 같이 Word 프로그램이 나타날 것이며 설치되어 있지 않을 경우 위와같이 워드패드에서 나타날 것입니다. 문서를 열게 되면 PDF 파일의 아이콘이 나타나며 더블클릭을 하라는 메세지가 보입니다. 해당 아이콘을 더블클릭 하면 아래와 같은 창이 나타나게 됩니다. 이때 [실행] 버튼을 누르게 되면 DOC 파일 내부에 있는 EXE 파일이 실행되며 악성코드에 감염되므로 주의를 하시기 바랍니다. 앞으로는…