Ahnlab 프로그램으로 위장한 악성코드 주의! – AhnLaB 레지스터리 최적화 적용파일.exe

금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다. 이 악성코드는 “AnhLaB 레지스터리 최적화 적용파일.exe“ 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다. 아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다. [그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면] 해당 악성코드는 아래그림의 아이콘과 “AnhLaB 레지스터리 최적화 적용파일.exe” 란 파일명을 사용하고, 크기는 336KB 정도됩니다. [그림2. Ahnlab 제품으로 위장한 악성코드] 악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다. [그림3. 악성코드 파일의 속성] 실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다. [그림4. Ahnlab 에서 베포하는 Registry fix 전용백신] 파일 우클릭 -> 속성에서 확인하실 수…

광고를 가장한 악성코드 다운로드하는 HTML 첨부 스팸메일 주의!

http://core.ahnlab.com/192http://core.ahnlab.com/193http://core.ahnlab.com/196 상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다. 지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다. Delivery Status Notification (Delay)Delivery Status Notification (Failure) 해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다. Forwarded Message.html 첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다. 난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.

Youtube 에서 발송한 메일로 위장한 악성스팸메일 주의

세계 최대의 동영상서비스인 Youtube 에서 발송한 메일처럼 위장한 악성 스팸이 또 다시 국내로 유입되고 있습니다. 만약, 메일에 첨부된 html 파일을 열게되면, 성인약품 광고 사이트 등 유해성 높은 url 로 접속되게 되오니 첨부파일을 절대 열지 마시길 당부드립니다. * 유입되는 스팸 메일의 제목 User comerke82 suggests you to become friends on YouTube User correctingynng4 suggests you to become friends on YouTube User counterpane733 suggests you to become friends on YouTube User searchinglyoup80 suggests you to become friends on YouTube User strumpetsvvv3 suggests you to become friends on YouTube * 본문 내용 User correctingynng4 suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also…

감염시 광고성스팸메일을 대량발송시키는 악성코드 주의!

오늘 spamer, spambot 등으로 불리는 광고성스팸메일을 뿌리는 악성코드에 상당수의 PC가 감염된 것이 확인되어 관련 내용을 안내해드립니다. 이 악성코드는 아래와 같이 wpv(숫자).exe 파일명으로 퍼져나가고 있습니다. [사용된 파일이름] wpv061278400375.exe wpv791278399429.exe wpv281278399926.exe wpv631278400263.exe wpv621278399510.exe wpv431278399382.exe wpv371278400097.exe wpv511278400048.exe wpv021278399804.exe wpv541278400197.exe wpv091278399986.exe 파일명으로 볼때 Bredolab 의 변종인 것으로 보이네요. 위 악성코드가 실행되면, 아래처럼 explorer.exe 에 ADS형태로 자신을 복사합니다. C:WINDOWSexplorer.exe:userini.exe   또한 Run 레지스트리에 등록하여 부팅시 악성코드가 실행되게 합니다. HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunuserini                                                                           “C:WINDOWSexplorer.exe:userini.exe”  HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunuserini                                                                                             “C:WINDOWSexplorer.exe:userini.exe” 악성코드가 실행되면 아래화면과 같이 smtp(tcp/25번포트) 로 스팸메일을 발송합니다. 발송되는 메일은 아래와 같습니다. 많이 보던 화면일수도 있겠네요 🙂 메일의 그림을 클릭하면 접속되는 페이지 역시 광고(성인약품)페이지입니다. 프로세스 익스플로러 로 보시면 userini.exe 가 explorer.exe 에 붙어서 동작중인 것을 보실 수 있습니다. [악성코드 삭제방법] V3Lite (www.v3lite.com) 와 같은 백신으로 검사하셔서 치료하시거나(진단명 Win-Trojan/Spambot.숫자) gmer로 간단하게 제거하실 수 있습니다. c:windowsexplorer.exe:userini.exe 를 찾아 Delete 를 누르고 재부팅…

가짜 차량 세금을 사칭한 E-mail 주의!

가짜 차량 세금으로 위장한 악성 스팸메일이 유입되고 있어 사용자의 주의가 필요합니다. 메일 제목에 car tax, car fee 를 포함한 이메일 주의!  Good day! how you maybe have prepared hear, the Ministry of Transport will Adjustment a tax for your car. Please read attached documentation extensively, in the cease of economize on your finance.   have a nice day! 메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 CAR_DOCUMENTATION.DOC.exe파일이 생성됩니다. 그림과 같이 아이콘을 word문서로 꾸몄지만, 실제는 실행파일(pe파일) 이므로 실행하지 않도록 조심해야 합니다. 만약 실수로 실행시켰다면, 당황하지 마시고 사용하시는 안티바이러스 프로그램을 이용해 검사 및 치료하시기 바랍니다. 백신이 설치되지 않으셨다면, 아래 링크를 통해 V3Lite 를 설치하여 치료하시길 권합니다. 무료백신 V3Lite 설치 V3에서는 위 악성코드에 해당하는 파일을 아래와 같은 진단명으로 진단하고 있습니다.   Win-Trojan/Agent.60416.FV(V3) 아래의 사항들을 준수하여, 자신의 PC를 악성코드로부터 안전하게 보호하시기…