악성코드 정보

*도메인* account notification

도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다. 제목: *도메인* account notification Dear Customer, This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account. We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions (C) *도메인* 위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다. 예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다. 그리고 위…

sysinternals에서 배포하는 작지만 강한 tool (1) – whois 편

오늘은 sysinternals에서 무료로 배포하는 tool중 whois라는 아주 간단한 프로그램에 대해 알아보겠습니다. whois는 이 전에도 소개해 한적이 있는 Mark Russinovich의 작품입니다.^^ ▶   다운로드 더보기 접기 http://technet.microsoft.com/en-us/sysinternals/bb897435.aspx 접기 ▶   소개 whois라는 이름만으로도 무엇을 하는 녀석인지 예상이 가듯, 이 녀석은 도메인이름 등록인 및 연락처, 국내 IP 주소의 사용기관 및 연결 ISP에 대한 정보 등을 알려주는 Networking Utilities 입니다. whois는 해당 도메인 이름이 이미 다른 사람에 의해 사용중인지, 아니면 자신이 신청할 수 있는지를 확인하는 용도로도 많이 쓰입니다. 만약, 자기가 생각하고 있는 어떤 도메인 이름을 whois 에 입력했을 때 아래와 같은 메시지가 나오면, 그 도메인은 새로 신청할 수 있는 도메인으로 간주할 수 있습니다. 이런 기능을 이용하면 도메인 신청시 유용하게 쓰일 수 있으며 또 한, 보안측면에서도 해당 도메인의 정보를 알아내는 작업으로 이용할 수도 있겠습니다. 그럼 whois를 통해 관련 정보를 확인해 보도록 합니다! 어떤 도메인의 소유자가…

“DHL…”과 “YOUR TEXT” 악성 스팸메일 경고!

4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다. 3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다. DHL Services. Get your parcel NR.9195DHL Express. Please get your parcel NR.8524 DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다. YOUR TEXT 악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요. 첨부된 악성 파일들을 다운로드하여 압축해제하면 오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게 워드 문서인 것 처럼 보이게 합니다. 각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다. 파일명 : DHL_label_5893.exe 진단명 : Dropper/Malware.59392.GC 파일명 : File.exe 진단명 : Win32/MyDoom.worm.32256 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로 부터 피해를 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여…

Twitter 트위트 메세지를 이용한 악성코드 유포!

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다. 필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다. 역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다. 잠깐~~ 참고하세요 ! 단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^…

Process Explorer를 이용한 악성코드 대응법!

안녕하세요! 오늘 알아 볼 tool은 Process Explorer입니다! ^^ 이 프로그램은 Windows 운영체제에 대해 매우 해박한 지식을 갖고 계시기로 매우 유명한 분이죠?  sysinternals(현재는 Microsoft사에 인수됨)의 Mark Russinovich씨가 만든 tool로서 최고의 프로세스 관리 유틸리티라 생각됩니다! (사담이이지만, 저희 ASEC 대응팀원중 한분은 이분을 굉장히 존경하십니다.^^;) 이상 간략한 제작자에 대한 소개는 접고 바로 tool 소개를 하도록 하겠습니다! Process Explorer는 앞서 말씀드린바와 같이 프로세스를 관리할 수 있는 프로그램입니다. 다시 말해, 현재 실행중인 프로세스를 파악하고 해당 프로세스의 우선권을 변경, 정지, 강제 종료 등의 작업을 지원하여 실제 악성코드 분석시 유용하게 쓰이고 있는 프로그램이죠. ▶   프로그램 장점 더보기 접기 * 실행중인 프로세스들을 계층적(Parent/Child)의 트리 구조로 표시하고 있습니다. * dll과 handles 정보를 볼 수 있습니다. * 프로그램상에서 특정 process나 연관되는 process tree를 강제로 종료할 수 있습니다. * 이외에 사용자에 따른 무한한 장점이 있겠습니다. ^^  접기 ▶   프로그램…