UPS #(숫자) 제목의 악성스팸메일 주의하세요! Posted By ASEC , 2010년 7월 2일 금일 UPS invoice(송장) 으로 위장한 악성스팸메일이 또 다시 유입되고 있어 사용자의 주의가 필요합니다. 제목: UPS #2485355621 보낸사람: UPS 본문: Hello, We were not able to deliver postal package you sent on the 29nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Giovanni Smith, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 제목: UPS #6521056755 보낸사람: UPS 본문: Good morning, We were not able to deliver postal package you sent on the 28nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Gregory Boswell, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 UPS_INVOICE_06.2010.DOC.exe 파일이 생성됩니다….
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) Posted By ASEC , 2010년 7월 1일 http://core.ahnlab.com/192http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:windowsPRAGMA[랜덤한 문자] 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다. v3alureon_gen_np.zip 검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다. 은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다. 작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성…
V3 제품 업데이트 시 “업데이트 중 오류가 발생하였습니다. (-1)” 메세지가 나오는 경우 Posted By ASEC , 2010년 6월 30일 온라인 게임핵 류 악성코드에 감염이 되면 V3 제품이 업데이트가 안되는 증상이 발생하는 경우가 있습니다. 이러한 경우 조치방법을 안내해 드리겠습니다. 우선 아래 아래 안내드리는 전용백신을 다운로드 하여 검사를 해보시기 바랍니다.전용백신 다운로드 (클릭)전용백신으로 진단이 되었다면 치료 후 V3제품이 업데이트가 되는지 확인해보신 후 업데이트가 된다면 업데이트 후 시스템 전체에 대해 검사를 진행하시기 바랍니다. 만약 전용백신으로 진단되는 내역이 없다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다. 1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다. Ice Sword 다운로드 (클릭) 2) IceSword.exe를 실행합니다. 3) 왼쪽의 [File]을 클릭합니다. 4) 아래 삭제 할 파일이 위치한 경로로 이동하여 파일을 찾습니다. [삭제할 파일] c:windowssystem32ole.dll 5) 해당 파일을 마우스 우클릭후, [force delete]를 클릭합니다. 6) 시스템을 재부팅하여 V3 제품 업데이트를 해보시기 바랍니다. 업데이트가 정상적으로 이루어 지면 업데이트 후 전체 시스템에 대해 검사를…
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2) Posted By ASEC , 2010년 6월 30일 http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다. game.exe -> Win-Trojan/Agent.26112.RQ Notes10.pdf -> PDF/Exlpoit Applet10.html ->HTML/Agent 다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (1) Posted By ASEC , 2010년 6월 29일 http://core.ahnlab.com/191 http://core.ahnlab.com/189 최근들어 상기 링크에 포스팅된 글들에서 언급해 드렸듯이 악성 html 파일을 첨부했거나 악성 html 링크를 삽입한 스팸메일이 지속적으로 유포되고 있습니다. 현재 글을 포함하여 앞으로 포스팅할 글들에서 해당 html 파일들의 상세한 정보를 알아보고자 합니다. Case 1. 메일 내 링크를 삽입하여 사용자의 클릭 유도 우선, 앞서 언급해 드린 것과 같이 스팸메일 자체 html에 링크를 삽입하여 사용자가 클릭을 하도록 유도합니다. 금일 발견된 악성 스팸메일의 정보는 아래와 같습니다. 메일 본문 곳곳에 악성 html 링크가 삽입되어 있습니다. 메일 제목 : Amazon.com: Get Ready for Cyber Monday Deals 메일 본문 Case 2. 악성 html 파일을 첨부한 스팸메일 악성 html 파일을 첨부한 스팸메일들은 아래와 같이 악성 html 파일을 첨부하여 첨부된 html 파일을 실행하도록 사용자를 유도합니다. 메일 제목 : I Love You Forever 메일 본문 Why You? see attach 😉 첨부된…
