html 파일이 첨부된 스팸메일 주의

최근 계속해서 html 파일을 첨부한 스팸메일이 기승을 부리고 있습니다. 거의 매일 새로운 제목과 함께 변종이 발견되고 있습니다.지난 포스트 보기 : http://core.ahnlab.com/189최근에 발견된 메일은 아래와 같이 호기심을 자극할만한 제목으로 클릭을 유도하여 첨부파일을 실행하도록 유도 합니다. My EverythingLove, Always And Forever To The One I Love In Your Heart Expressions Of Love hello Heart Is Set On YouShall We Dance? A New Persepctive 첨부되는 파일은 foryou.html 같은 제목의 파일이며 해당 파일명은 언제든지 변경될 수 있습니다. 해당 파일을 열어 보면 아래와 같이 알아볼 수 없을 정도로 난독화 되어 있습니다. [그림 1] 첨부된 파일 내용 중 일부 첨부파일을 실행하게 되면 아래와 같이 성인 약품을 광고하는 사이트로 자동으로 이동하며 그외에 다른 허위백신이나 악성코드를 설치하는 페이지로 유도될수도 있습니다. [그림 2] 첨부파일 실행 시 접속하는 성인약품 광고…

vbs 를 이용한 네이트온 악성코드 주의!

오늘 vbs 형태의 네이트온 악성코드가 발견되어 관련 내용을 안내드립니다. vbs 악성코드의 감염경로는, 위 그림과 같이 해킹된 네이트온 ID를 이용해 접속된 사람에게 악성코드 url 을 쪽지로 퍼뜨리는 형태를 띄고 있습니다. url을 통해 받은 압축파일을 해제시 x.vbs 파일이 나오게 되며, 해당 악성코드는 아래와 그림과 같이 난독화되어 분석을 어렵게 합니다. 위 난독화된 코드는 복호화 후 아래의 스크립트 명령어로 변환됩니다. 스크립트 내용으로 보아 ftp 서버를 통해 악성pe파일을 다운받아서 실행한 후, 특정 사이트에 접속한다는 것을 알 수 있습니다. ftp를 통해 다운받는 d.exe 는 wintian.dll 파일을 드롭하여 이 dll은 특정 서비스의 id/pw 를 가로채는 역할을 하게 되니 악성코드 감염시 패스워드를 반드시 변경하시기 바랍니다. v3에서는 다운받는 악성코드를 아래와 같이 진단하고 있습니다 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방 하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신)…

[악성스팸경보] 악성 PDF 를 전파하는 스팸메일 – “New Resume”

현재 악성 PDF 파일을 첨부한 악성 스팸메일이 급격히 전파되고 있으므로 사용자들의 주의가 필요합니다. 아래의 악성스팸메일의 내용을 확인하시어 같은 내용의 메일이 수신되면 확인 즉시 삭제 바랍니다. New Resume Please review my CV, Thank You! 파일첨부: resume.pdf 위 스팸메일에 사용된 텍스트는 아래 포스트를 통해 소개된 적 있습니다만, 첨부파일이 악성 PDF로 바뀌었습니다. 2010/05/13 – [악성코드 경보/악성 스팸 경보] – “Thank you from Google!”, “You Received Online Greeting Card”, “New resume.” 스팸 주의! 위 악성 PDF는 /openaction 을 이용한 악성코드이며, 파일을 열었을 때 [그림.1]과 같은 창이 뜨게 됩니다. 이 때 '열기' 를 클릭하시면 악성스크립트가 동작되므로, 실수로 열었을 때는 반드시 “열지 않음” 을 클릭해주세요. [그림.1] openaction 확인창 [그림.2] PDF header [그림. 3] 스크립트 내용 첨부된 악성 PDF 는 V3에서 PDF/Exploit 으로 진단하고 있습니다. [그림.4] V3…

트위터를 가장한 악성 스팸메일 주의! – Twitter 숫자-숫자

최근 트위터를 가장한 악성코드를 다운로드 하는 링크가 첨부된 메일이 확인되어 안내 드립니다. 제목 : Twitter 숫자-숫자 위와 같은 내용의 메일이 오며 위 메일 내용에서 빨간 박스안의 내용은 해당 메일을 받는 사용자의 이메일 계정 주소로 나타날 것입니다. 예를들어 victim@gmail.com 이면 빨간 박스 안의 내용은 gmail.com 이 되는 것입니다.그리고 위 메일 본문에서 http://twitter.com/account/=im@*사용자 이메일 도메인* 주소의 링크를 클릭하면 보기에는 twitter.com 사이트로 접속하는 것으로 보이지만 실제로는 악성코드를 다운로드 하는 URL로 접속을 하게 됩니다.해당 링크에서 받은 파일은 ZIP 파일이며 압축을 해제하면 아래와 같은 설치파일의 아이콘을 가장한 악성코드가 나타납니다. 최근 트위터 사용자가 급격하게 늘어남에 따라 트위터를 가장한 메일을 통해 악성코드가 유포되고 있으니 항상 아래와 같은 사항을 지켜 악성코드로 부터 안전하게 시스템을 지키시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신)…