open.html, news.html, facebook_newpass.html 등의 스크립트 파일을 첨부한 스팸메일 주의! Posted By ASEC , 2010년 6월 11일 최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다. 기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다.최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다. FaceBook message: intense sex therapy Hello Reset your Facebook password Reset your Twitter password FIFA World Cup South Africa… bad news *도메인명* account notification Delivery confirmation Outlook Setup Notification New discounts daily Helping small *oles grow *otent *apsules for lovers *our cum on my ass and mouth! hot public *udity with crazy jennifer Alexa And Miley *uck And…
[악성스팸경보] 악성 PDF 를 전파하는 스팸메일 – “New Resume” Posted By ASEC , 2010년 6월 8일 현재 악성 PDF 파일을 첨부한 악성 스팸메일이 급격히 전파되고 있으므로 사용자들의 주의가 필요합니다. 아래의 악성스팸메일의 내용을 확인하시어 같은 내용의 메일이 수신되면 확인 즉시 삭제 바랍니다. New Resume Please review my CV, Thank You! 파일첨부: resume.pdf 위 스팸메일에 사용된 텍스트는 아래 포스트를 통해 소개된 적 있습니다만, 첨부파일이 악성 PDF로 바뀌었습니다. 2010/05/13 – [악성코드 경보/악성 스팸 경보] – “Thank you from Google!”, “You Received Online Greeting Card”, “New resume.” 스팸 주의! 위 악성 PDF는 /openaction 을 이용한 악성코드이며, 파일을 열었을 때 [그림.1]과 같은 창이 뜨게 됩니다. 이 때 '열기' 를 클릭하시면 악성스크립트가 동작되므로, 실수로 열었을 때는 반드시 “열지 않음” 을 클릭해주세요. [그림.1] openaction 확인창 [그림.2] PDF header [그림. 3] 스크립트 내용 첨부된 악성 PDF 는 V3에서 PDF/Exploit 으로 진단하고 있습니다. [그림.4] V3…
트위터를 가장한 악성 스팸메일 주의! – Twitter 숫자-숫자 Posted By ASEC , 2010년 6월 7일 최근 트위터를 가장한 악성코드를 다운로드 하는 링크가 첨부된 메일이 확인되어 안내 드립니다. 제목 : Twitter 숫자-숫자 위와 같은 내용의 메일이 오며 위 메일 내용에서 빨간 박스안의 내용은 해당 메일을 받는 사용자의 이메일 계정 주소로 나타날 것입니다. 예를들어 victim@gmail.com 이면 빨간 박스 안의 내용은 gmail.com 이 되는 것입니다.그리고 위 메일 본문에서 http://twitter.com/account/=im@*사용자 이메일 도메인* 주소의 링크를 클릭하면 보기에는 twitter.com 사이트로 접속하는 것으로 보이지만 실제로는 악성코드를 다운로드 하는 URL로 접속을 하게 됩니다.해당 링크에서 받은 파일은 ZIP 파일이며 압축을 해제하면 아래와 같은 설치파일의 아이콘을 가장한 악성코드가 나타납니다. 최근 트위터 사용자가 급격하게 늘어남에 따라 트위터를 가장한 메일을 통해 악성코드가 유포되고 있으니 항상 아래와 같은 사항을 지켜 악성코드로 부터 안전하게 시스템을 지키시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신)…
[악성 스팸경보] “Outlook Setup Notification”, “Thank you for setting the order No.[랜덤한 6자리 숫자]” Posted By ASEC , 2010년 6월 3일 악성코드를 첨부한 아래 두 악성스팸메일이 유포되고 있는 것이 확인되어 사용자들의 주의가 당부됩니다. Outlook Setup Notification Thank you for setting the order No.[랜덤한 6자리 숫자] 첨부된 두개의 악성파일은 동일한 악성코드를 설치합니다. Protection Center 라는 FakeAV가 설치가 되며 바탕화면에 성인 사이트로 연결되는 링크 파일들을 생성하게 됩니다. 해당 파일들은 현재 V3 제품에서 아래와 같은 진단명으로 진단하고 있습니다. Win-Trojan/Alureon.36352.B 상기와 같은 의심스러운 메일을 수신하였을 경우 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
윈도우 업데이트를 가장한 악성코드 주의 Posted By ASEC , 2010년 6월 3일 이전에 포스팅 된 “Antimalware Doctor (가짜백신) 조치가이드” 글에 추가적인 내용을 덧붙입니다. Antimalware Doctor 라는 FakeAV(백신 프로그램으로 위장한 악성코드)가 윈도우 업데이트를 가장하여 설치가 되고 있어 사용자들의 주의가 당부됩니다. [그림 1. 윈도우 업데이트로 위장한 악성코드] 우선 대부분의 국내 사용자들은 한글판 윈도우를 사용하고 계시므로 상기 업데이트 창에 현혹되지 않을 가능성이 많지만 영문판 윈도우를 사용하신다면 윈도우 업데이트와 분간하기 어렵기 때문에 사용자들이 확인하지 않고 설치를 할 확률이 높습니다.http://core.ahnlab.com/172 포스팅에서 알려드린 수동 조치에서 아래와 같은 사항이 추가되어 알려드립니다. 이전 포스팅 된 글의 수동조치 방법을 참고하시어 아래의 파일 및 레지스트리 값을 추가적으로 확인 후 삭제해 주시기 바랍니다. [파일] C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFgotnewupdate005002.exe C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFenemies-names.txt C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFlocal.ini C:Documents and Settings사용자계정Application DataMicrosoftInternet ExplorerQuick LaunchAntimalware Doctor.lnk C:Documents and Settings사용자계정바탕 화면Antimalware Doctor.lnk C:Documents and Settings사용자계정시작 메뉴Antimalware Doctor.lnk…