setting for your mailbox *이메일주소* are changed Posted By ASEC , 2010년 5월 9일 최근 이메일 계정의 설정과 관련된 스팸메일을 통해 유포되는 악성코드가 있어 안내해 드립니다. 제목 : setting for your mailbox *이메일주소* are changed SMTP and POP3 servers for *이메일주소* mailbox are changed. Please carefully read the attached instructions before updating settings. 해당 스팸메일 제목의 *이메일주소* 는 해당 스팸메일을 받은 주소로 나타나게 됩니다. 따라서 사용자들은 정상적으로 온 메일로 착각을 할 위험이 있습니다.이러한 메일에 첨부된 파일은 아래와 같이 시스템 파일과 같은 모양의 아이콘으로 가장하여 실행을 유도하고 있습니다. 그리고 그외에도 아래와 같이 구글 그룹스 사이트에서 배포하는 파일로 위장하여 악성코드를 전파하는 사례도 발견되어 주의를 요구합니다. 항상 아래 내용을 준수하여 스팸메일을 통해 유포되는 악성코드의 위험으로 부터 미연에 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며,…
[스팸주의] Your transaction has been processed Posted By ASEC , 2010년 5월 9일 오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다. 이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요. 메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요. 제목: Your transaction has been processed 본문: Your transaction has been processed by WorldPay, on behalf of Amazon Inc. The invoice file is attached to this message. This is not a tax receipt. We processed your payment. Amazon Inc has received your order, and will inform you about delivery. Sincerely, Amazon Team 위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다. 제발 결제해달라고 아우성치는군요~^^ 똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요? 만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다! 끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다. 1….
문서 파일에 포함된 악성코드 주의! Posted By ASEC , 2010년 5월 9일 메일을 이용하여 메일을 유포하는 방식 중 문서 파일을 이용하여 악성코드를 감염시키는 메일이 확인되어 안내해 드립니다. 이러한 기법은 예전에 발견된 내용이나 블로그에 따로 소개해 드린적이 없어 안내해 드립니다. 이러한 메일은 대부분 첨부파일로 DOC 파일 혹은 RTF 파일이 첨부되게 됩니다. 해당 첨부파일을 열면 아래와 같이 나타나게 됩니다. [그림 1. Microsoft Office 가 설치되어 있지 않은 경우] [그림 2. Microsoft Office 가 설치되어 있는 경우] 만약 시스템에 마이크로스프트 오피스가 설치되어 있으면 아래와 같이 Word 프로그램이 나타날 것이며 설치되어 있지 않을 경우 위와같이 워드패드에서 나타날 것입니다. 문서를 열게 되면 PDF 파일의 아이콘이 나타나며 더블클릭을 하라는 메세지가 보입니다. 해당 아이콘을 더블클릭 하면 아래와 같은 창이 나타나게 됩니다. 이때 [실행] 버튼을 누르게 되면 DOC 파일 내부에 있는 EXE 파일이 실행되며 악성코드에 감염되므로 주의를 하시기 바랍니다. 앞으로는…
허위 안티바이러스(백신) Digital Protection / Data Protection 주의! Posted By ASEC , 2010년 5월 5일 1. 서론금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다. 2. 감염 시 증상 해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다. [그림1. 감염 시 나타나는 트레이 아이콘] 이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다. [그림2. 허위백신에 사용되는 파일을 다운로드 하는 화면] 시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다. [그림3. 윈도우 보안센터와 비슷하게 만든 거짓 알림 창] 그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다. [그림4. 허위 안티바이러스(백신) 실행 화면] 3. 조치 방법 현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서…
Autoruns 사용법! – Series (3) Posted By ASEC , 2010년 5월 4일 안녕하세요~~~ 5월입니다~ 5월은 그 숫자만으로 밝고 푸른 느낌을 주지 않나요 ^^? 여의도 공원은 사람들로 북적대고 간간히 촬영하시는 연예인님들도 보입니다. 얼마 전에는 이 시대의 대표 꽃남이죠? 이민호군을 봤습니다. 참……잘생겼더군요! 이렇게 아름다운 5월! 상큼하게 Autoruns를 통한 악성코드 대응법에 대하여 알아보겠습니다! 이전에 이미 Series(1), (2) 를 통해 기능 설명은 해드렸고요, 오늘은 최종회입니다! 그럼, 상콤하게 출발~! 가장 먼저, 악성코드를 동작 시켜 그 상태를 Autoruns를 통해 확인해 보도록 하겠습니다. 오늘 시연에 사용될 악성코드는 BHO 관련 악성코드로 V3에서는 아래의 진단명으로 진단하고 있습니다. Autoruns Serires (1)에서 말씀드린바와 같이 BHO의 정보는 Explorer와 Internet Explorer에서 확인할 수 있습니다. 그럼 직접 해당 엔트리를 통해 해 확인해 보죠! 위의 그림에서 가장 먼저 눈에 들어오는 부분 “Not Verified(전자서명 없음)” 부분입니다. 그 다음으로 Image Path를…
