가짜 차량 세금을 사칭한 E-mail 주의! Posted By ASEC , 2010년 7월 5일 가짜 차량 세금으로 위장한 악성 스팸메일이 유입되고 있어 사용자의 주의가 필요합니다. 메일 제목에 car tax, car fee 를 포함한 이메일 주의! Good day! how you maybe have prepared hear, the Ministry of Transport will Adjustment a tax for your car. Please read attached documentation extensively, in the cease of economize on your finance. have a nice day! 메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 CAR_DOCUMENTATION.DOC.exe파일이 생성됩니다. 그림과 같이 아이콘을 word문서로 꾸몄지만, 실제는 실행파일(pe파일) 이므로 실행하지 않도록 조심해야 합니다. 만약 실수로 실행시켰다면, 당황하지 마시고 사용하시는 안티바이러스 프로그램을 이용해 검사 및 치료하시기 바랍니다. 백신이 설치되지 않으셨다면, 아래 링크를 통해 V3Lite 를 설치하여 치료하시길 권합니다. 무료백신 V3Lite 설치 V3에서는 위 악성코드에 해당하는 파일을 아래와 같은 진단명으로 진단하고 있습니다. Win-Trojan/Agent.60416.FV(V3) 아래의 사항들을 준수하여, 자신의 PC를 악성코드로부터 안전하게 보호하시기…
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) Posted By ASEC , 2010년 7월 1일 http://core.ahnlab.com/192http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:windowsPRAGMA[랜덤한 문자] 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다. v3alureon_gen_np.zip 검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다. 은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다. 작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성…
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2) Posted By ASEC , 2010년 6월 30일 http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다. game.exe -> Win-Trojan/Agent.26112.RQ Notes10.pdf -> PDF/Exlpoit Applet10.html ->HTML/Agent 다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.
html 파일이 첨부된 스팸메일 주의 Posted By ASEC , 2010년 6월 23일 최근 계속해서 html 파일을 첨부한 스팸메일이 기승을 부리고 있습니다. 거의 매일 새로운 제목과 함께 변종이 발견되고 있습니다.지난 포스트 보기 : http://core.ahnlab.com/189최근에 발견된 메일은 아래와 같이 호기심을 자극할만한 제목으로 클릭을 유도하여 첨부파일을 실행하도록 유도 합니다. My EverythingLove, Always And Forever To The One I Love In Your Heart Expressions Of Love hello Heart Is Set On YouShall We Dance? A New Persepctive 첨부되는 파일은 foryou.html 같은 제목의 파일이며 해당 파일명은 언제든지 변경될 수 있습니다. 해당 파일을 열어 보면 아래와 같이 알아볼 수 없을 정도로 난독화 되어 있습니다. [그림 1] 첨부된 파일 내용 중 일부 첨부파일을 실행하게 되면 아래와 같이 성인 약품을 광고하는 사이트로 자동으로 이동하며 그외에 다른 허위백신이나 악성코드를 설치하는 페이지로 유도될수도 있습니다. [그림 2] 첨부파일 실행 시 접속하는 성인약품 광고…
open.html, news.html, facebook_newpass.html 등의 스크립트 파일을 첨부한 스팸메일 주의! Posted By ASEC , 2010년 6월 11일 최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다. 기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다.최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다. FaceBook message: intense sex therapy Hello Reset your Facebook password Reset your Twitter password FIFA World Cup South Africa… bad news *도메인명* account notification Delivery confirmation Outlook Setup Notification New discounts daily Helping small *oles grow *otent *apsules for lovers *our cum on my ass and mouth! hot public *udity with crazy jennifer Alexa And Miley *uck And…
