국내로 허위 DHL 운송 메일 악성코드 유입 Posted By ASEC , 2011년 10월 24일 ASEC에서는 2009년 8월 17일 해외에서 허위 DHL 운송 메일로 위장한 악성코드가 발견되었다는 보고가 있었다는 사항을 전한 바가 있었다. 해외에서 발견된 해당 악성코드가 2009년 8월 18일 오전 한국으로도 유입된 것이 확인되어 컴퓨터 사용자들의 많은 주의가 필요하다. 국내에 유입된 해당 악성코드는 위 이미지와 같은 전자 메일 형태에 첨부 파일로 D6513f8c3.zip 등의 압축 파일 형태가 존재하며 해당 압축 파일의 압축을 해제하면 D6513f8c3.exe (37,888 바이트)이 생성된다. 생성된 D6513f8c3.exe (37,888 바이트)은 위 이미지와 같이 마이크로소프트(Microsoft) 엑셀(Excel) 파일의 아이콘 모양을 가지고 있다. 현재 ASEC에서 파악한 바로는 해당 전자 메일과 유사한 형태의 다른 변형들이 존재함으로 위와 같은 전자 메일을 수신할 경우에는 삭제하도록 한다. 현재 V3 제품군에서는 해당 악성코드와 일부 변형들을 다음과 같이 진단한다. Win-Trojan/Bredolab.37376.E Win-Trojan/Bredolab.37888.D 그리고 이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이…
허위 DHL 운송 메일로 위장한 악성코드 유포 Posted By ASEC , 2011년 10월 24일 2009년 8월 17일 오전 02시경 해외에서 허위 DHL 운송 메일로 위장한 악성코드가 발견되었다는 보고가 있었다. 이번에 발견된 허위 DHL 운송 메일로 위장한 악성코드는 2009년 8월 7일 한국에서에서도 발견되었던 UPS 운송 메일로 위장한 악성코드의 또 다른 변형이다. 이번에 발견된 허위 DHL 운송 메일로 위장한 악성코드는 다음과 같은 메일 형태을 가지고 있는 것으로 알려져 있다. * 메일 제목 DHL Delivery problem NR (임의의 7문자) * 메일 본문 Dear customer! We failed to deliver the package sent on the 14th of June in time because the recipient’s address is erroneous. Please print out the invoice copy attached and collect the package at our department. Your DHL Delivery Services. 그리고 첨부 파일로는 D039fc81e.zip 또는 D1c8020fd.zip이 존재하며 압축을 해제하면D039fc81e.exe(37,888 바이트) 또는 D1c8020fd.exe(37,376 바이트) 이 생성된다. 현재 ASEC에서 파악한 바로는…
트위터를 기반으로 한 봇넷 조정 발견 Posted By ASEC , 2011년 10월 24일 미국 시각 2009년 8월 13일 미국의 네트워크 보안 업체인 아르보(Arbor)에서 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)를 이용하여 악성코드에 감염된 좀비(Zombie) 시스템들의 네트워크인 봇넷(Botnet)으로 조정 명령들을 송신하는 것이 발견되었다고 한다. 아르보에서 발견한 트위터를 이용한 봇넷 명령한 위 이미지에서와 같이 봇넷을 조정할 수 있는 명령어들을 베이스64(Base64)로 인코딩 한 후 이를 다시 아래 이미지와 같이 RSS(Really Simple Syndication)로 악성코드에 감염된 좀비 시스템들에게 명령을 송신하도록 되어 있었다. ASEC에서 분석 당시 송신한 명령으로는 특정 도메인에서 다수의 특정 파일을 다운로드 하는 명령이 존재하였다. 해당 파일들을 다운로드 하여 확인 한 결과 아래 이미지와 같은 베이스64로 인코딩되어 있는 ZIP 압축 파일이었다. 해당 파일들을 디코딩해서 압축을 풀면 UPX로 실행 압축되어 있는 gbpm.exe 파일이 생성된다. 생성된 실행 파일들은 모두 악성코드들로 V3 제품군에서 다음과 같이 진단한다. Win-Trojan/Banc.104960 Win-Trojan/Banc.103936 Win-Trojan/Banc.33792 Win-Trojan/Banc.34304 Win-Trojan/Banc.71680…
메신저로 유포된 가짜 바이러스 훅스(Hoax) Posted By ASEC , 2011년 10월 24일 2009년 8월 14일 오전 ASEC에서는 국내 특정 메신저 프로그램으로 아래와 같은 메시지가 유포되고 있는 것을 파악하였다. 국내 특정 메신저 프로그램으로 유포된 메시지의 내용은 “Life is Beautiful” 이라는 가짜 바이러스인 훅스(Hoax)의 한 종류이다. 해당 훅스는 2007년도 무렵부터 알려지기 시작하였으며 이러한 형태의 훅스들 대부분은 다음과 같은 특징을 가지고 있다. 1. 언론사, 마이크로소프트웨어 및 보안 회사 처럼 공신력 있는 회사에서 경고한 것으로 위장 2. 메일을 여는 것 만으로 시스템이 모두 파괴한다는 내용 3. 어떤 백신 프로그램으로도 치료 할 수 없다는 내용 4. 사본을 만들어 여러 친구에게 알리도록 권고 전자메일, 메신저 등으로 이러한 메시지를 수신하게 되면 다른 사람에게 해당 내용 전파 자제를 요청하고 공신력 있는 보안 업체로 해당 사항을 정확하게 확인하는 것이 중요하다.
UPS 운송 메일로 위장한 악성코드 발견 Posted By ASEC , 2011년 10월 24일 2009년 8월 7일 17시경 한국과 해외 일부 지역에서 2009년 6월 24일 발견되었던 허위 UPS 운송 전자 메일로 위장한 악성코드가 다시 발견되었다. 이번에 발견된 악성코드는 다음과 같은 전자 메일 형식을 가지고 있으며 UPSNR_1738627d.zip(27,554 바이트)가 첨부 되어 있다. 첨부되어 있는 zip 압축 파일을 압축을 풀면 다음 이지미와 같이 엑셀 아이콘 모양의 UPSNR_1738627d.exe(39,936 바이트) 파일이 생성 된다. 현재 ASEC에서 파악한 바로는 해당 전자 메일과 유사한 형태의 다른 변형들이 존재함으로 위와 같은 전자 메일을 수신할 경우에는 삭제하는 것이 좋다. 현재 V3 제품군에서는 해당 악성코드와 일부 변형들을 다음과 같이 진단한다. Win-Trojan/Bredolab.39936.E Win-Trojan/Bredolab.40960 Win-Trojan/Bredolab.39936.F Win-Trojan/Bredolab.39936 그리고 이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.