트위터(Twitter)를 사칭한 피싱 사이트 주의!

최근 트위터(Twitter)를 사칭한 피싱 사이트로 유도하는 아래와 같은 메시지 혹은 스팸메일이 유포되고 있으니 주의하시기 바랍니다. 이전에 포스팅한 페이스북(FaceBook)을 위장한 스팸메일처럼 역시 해당 메세지도 사회공학적 기법을 이용합니다. hi. this you on here? http://bit.ly/****** 위 메세지에서 안내해는 사이트에 접속하면 아래와 같이 트위터와 똑같이 생긴 사이트로 접속을 하게 됩니다. 해당 사이트에서 로그인을 하게 되면 사용자 계정이 탈취당하게 됩니다. 피싱 사이트는 아래와 같은 사항만 늘 숙지하고 지킨다면 계정을 안전하게 지킬 수 있으리라 생각합니다. 1. 스팸메일, 게시물 혹은 댓글을 이용하여 로그인을 유도하는 사이트는 의심을 합니다. 2. 로그인 시 항상 현재 내가 로그인 하는 사이트가 정확한 주소로 연결되어 있는지 웹브라우져에서 확인합니다. 3. 만약 유출될 상황을 대비하여 모든 사이트에 똑같은 계정 및 패스워드를 사용하지 않도록 합니다.

, 스팸 메일 주의!

Facebook 메일을 위장한 아래 그림의 스팸 메일이 발송되고 있습니다. 필자도 페이스북을 사용하고 있는데 실제 페이스북 UI와 흡사하여 실제 사이트인지 분간하기 어려웠습니다. 하지만 특정 사이트에서 업데이트 파일을 수신하라고 직접 메일을 보내는 경우는 보기 드물고 해당 사이트의 홈페이지 공지 등에서 관련 내용이 없다면 의심해 보아야 할 것입니다. 상기 스팸메일 내 “Update” 버튼이나 “here” 부분을 클릭하면 아래 페이지로 이동하게 됩니다. 상기 페이지에 email과 password를 임의로 입력하여도 접속이 되며 아래 페이지로 이동하게 됩니다. 상기 그림에서 빨간색 네모 안의 “updatetool.exe” 파일을 다운로드하고 설치하게 유도를 합니다. 하지만 다운로드한 파일은 업데이트를 위한 파일이 아닌 V3에서 아래 진단명으로 진단하는 악성파일입니다. updatetool.exe   –  Win-Trojan/ZBot.105472.C 최근에 계속 연재하고 있는 스팸메일들을 보면 사회공학적 기법들을 많이 사용하고 있습니다. 신뢰할 수 있는 사람이나 기업에서 보낸 메일처럼 위장하여 악성파일을 다운로드하여 실행하게 하거나 계정정보를 탈취하고…

Read carefully – Important User Notification

서버 업그레이드를 알림을 위장한 악성코드 유포 메일이 확인되어 주의를 요합니다. 제목 : Read carefully – Important User Notification Attention!   On October 30, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole. For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure.  This procedure is quite simple. All you have to do is just to  click the link provided, to save the patch file and then to run  it from your computer location. That's all. http://주소  Thank you in advance for your attention to…

“UPS Invoice 5305325782943” 스팸 메일 주의!

아래 그림과 같이 UPS 메일인 것처럼 위장하고 파일을 첨부하여 스팸메일을 발송하고 있습니다. 아래 그림은 첨부된 파일이며  V3에서 아래 진단명으로 진단을 하게 됩니다. Win-Trojan/ZBot.104960.E V3엔진은 항상 최신버전인지 확인해 주시고 만약, 아래 악성파일을 실행시켜 감염이 되셨다면 V3  수동검사를 통하여 삭제해 주시기 바랍니다.

Rustock 조치 가이드 (2)

3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은  [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…