네이트온 쪽지를 통해 전파되는 악성코드 Posted By ASEC , 2010년 6월 28일 얼마전에 네이트온을 통해 전파되는 악성코드에 대한 주제로 글을 포스팅 한적이 있습니다. 글 포스팅 이후에도 네이트온 악성코드는 여전히 많이 전파되는 상황입니다.http://core.ahnlab.com/154네이트온을 통해 전파되는 악성코드는 항상 한국시간으로 토, 일요일에 변종이 발생하여 유포되고 있으며 현재 저희 ASEC 대응팀에서는 실시간으로 변종을 확인하여 대응중에 있습니다. 이번주에도 변함없이 새로운 변종이 발견되어 간략한 내용을 정리하여 안내해 드립니다.1. 악성코드 전파 방법아래 그림과 같이 쪽지 혹은 대화창을 통해 URL을 알려주며 접속을 유도 하게 됩니다. 접속을 하게 되면 “파일명.rar” 를 다운로드 하게 됩니다. 이 외에도 URL을 알려주지 않고 직접 파일을 전송하는 경우도 존재합니다. 2. 악성코드 파일의 형태주로 RAR 포맷의 압축 파일로 전파되게 됩니다. 압축을 해제 하면 아래와 같은 아이콘의 파일이 생성됩니다. 해당 파일은 폴더 아이콘으로 위장한 EXE 실행파일 입니다. 따라서 폴더인줄 착각하고 더블클릭을 하게 되면 실행이 되어 악성코드에 감염되게 됩니다.이…
html 파일이 첨부된 스팸메일 주의 Posted By ASEC , 2010년 6월 23일 최근 계속해서 html 파일을 첨부한 스팸메일이 기승을 부리고 있습니다. 거의 매일 새로운 제목과 함께 변종이 발견되고 있습니다.지난 포스트 보기 : http://core.ahnlab.com/189최근에 발견된 메일은 아래와 같이 호기심을 자극할만한 제목으로 클릭을 유도하여 첨부파일을 실행하도록 유도 합니다. My EverythingLove, Always And Forever To The One I Love In Your Heart Expressions Of Love hello Heart Is Set On YouShall We Dance? A New Persepctive 첨부되는 파일은 foryou.html 같은 제목의 파일이며 해당 파일명은 언제든지 변경될 수 있습니다. 해당 파일을 열어 보면 아래와 같이 알아볼 수 없을 정도로 난독화 되어 있습니다. [그림 1] 첨부된 파일 내용 중 일부 첨부파일을 실행하게 되면 아래와 같이 성인 약품을 광고하는 사이트로 자동으로 이동하며 그외에 다른 허위백신이나 악성코드를 설치하는 페이지로 유도될수도 있습니다. [그림 2] 첨부파일 실행 시 접속하는 성인약품 광고…
vbs 를 이용한 네이트온 악성코드 주의! Posted By ASEC , 2010년 6월 21일 오늘 vbs 형태의 네이트온 악성코드가 발견되어 관련 내용을 안내드립니다. vbs 악성코드의 감염경로는, 위 그림과 같이 해킹된 네이트온 ID를 이용해 접속된 사람에게 악성코드 url 을 쪽지로 퍼뜨리는 형태를 띄고 있습니다. url을 통해 받은 압축파일을 해제시 x.vbs 파일이 나오게 되며, 해당 악성코드는 아래와 그림과 같이 난독화되어 분석을 어렵게 합니다. 위 난독화된 코드는 복호화 후 아래의 스크립트 명령어로 변환됩니다. 스크립트 내용으로 보아 ftp 서버를 통해 악성pe파일을 다운받아서 실행한 후, 특정 사이트에 접속한다는 것을 알 수 있습니다. ftp를 통해 다운받는 d.exe 는 wintian.dll 파일을 드롭하여 이 dll은 특정 서비스의 id/pw 를 가로채는 역할을 하게 되니 악성코드 감염시 패스워드를 반드시 변경하시기 바랍니다. v3에서는 다운받는 악성코드를 아래와 같이 진단하고 있습니다 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방 하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신)…
open.html, news.html, facebook_newpass.html 등의 스크립트 파일을 첨부한 스팸메일 주의! Posted By ASEC , 2010년 6월 11일 최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다. 기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다.최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다. FaceBook message: intense sex therapy Hello Reset your Facebook password Reset your Twitter password FIFA World Cup South Africa… bad news *도메인명* account notification Delivery confirmation Outlook Setup Notification New discounts daily Helping small *oles grow *otent *apsules for lovers *our cum on my ass and mouth! hot public *udity with crazy jennifer Alexa And Miley *uck And…
[악성스팸경보] 악성 PDF 를 전파하는 스팸메일 – “New Resume” Posted By ASEC , 2010년 6월 8일 현재 악성 PDF 파일을 첨부한 악성 스팸메일이 급격히 전파되고 있으므로 사용자들의 주의가 필요합니다. 아래의 악성스팸메일의 내용을 확인하시어 같은 내용의 메일이 수신되면 확인 즉시 삭제 바랍니다. New Resume Please review my CV, Thank You! 파일첨부: resume.pdf 위 스팸메일에 사용된 텍스트는 아래 포스트를 통해 소개된 적 있습니다만, 첨부파일이 악성 PDF로 바뀌었습니다. 2010/05/13 – [악성코드 경보/악성 스팸 경보] – “Thank you from Google!”, “You Received Online Greeting Card”, “New resume.” 스팸 주의! 위 악성 PDF는 /openaction 을 이용한 악성코드이며, 파일을 열었을 때 [그림.1]과 같은 창이 뜨게 됩니다. 이 때 '열기' 를 클릭하시면 악성스크립트가 동작되므로, 실수로 열었을 때는 반드시 “열지 않음” 을 클릭해주세요. [그림.1] openaction 확인창 [그림.2] PDF header [그림. 3] 스크립트 내용 첨부된 악성 PDF 는 V3에서 PDF/Exploit 으로 진단하고 있습니다. [그림.4] V3…
