악성코드

Ahnlab 프로그램으로 위장한 악성코드 주의! – AhnLaB 레지스터리 최적화 적용파일.exe

금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다. 이 악성코드는 “AnhLaB 레지스터리 최적화 적용파일.exe“ 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다. 아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다. [그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면] 해당 악성코드는 아래그림의 아이콘과 “AnhLaB 레지스터리 최적화 적용파일.exe” 란 파일명을 사용하고, 크기는 336KB 정도됩니다. [그림2. Ahnlab 제품으로 위장한 악성코드] 악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다. [그림3. 악성코드 파일의 속성] 실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다. [그림4. Ahnlab 에서 베포하는 Registry fix 전용백신] 파일 우클릭 -> 속성에서 확인하실 수…

“Thank you from Google!”, “You Received Online Greeting Card”, “New resume.” 스팸 주의!

이번주에 유독 스팸메일을 통해 악성코드가 유포되는 사례가 많이 발견되어 안내해 드립니다. 제목 : Thank you from Google! We just received your resume and would like to thank you for your interest in working at Google. This email confirms that your application has been submitted for an open position. Our staffing team will carefully assess your qualifications for the role(s) you selected and others that may be a fit. Should there be a suitable match, we will be sure to get in touch with you. Click on the attached file to review your submitted application. Have fun and thanks again for applying to Google! Google Staffing 첨부파일 : document.pdf .exe 제목 : You Received Online Greeting Card 첨부파일 : setup.zip 제목…

[스팸주의] Your transaction has been processed

오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다. 이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요. 메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요. 제목: Your transaction has been processed 본문: Your transaction has been processed by WorldPay, on behalf of Amazon Inc. The invoice file is attached to this message. This is not a tax receipt. We processed your payment. Amazon Inc has received your order, and will inform you about delivery. Sincerely, Amazon Team 위 메일에 첨부된 Setup.exe 를 실행하면 'Desktop Security 2010' 이라는 가짜백신(FakeAV)이 설치되어 아래와 같은 증상이 나타납니다. 제발 결제해달라고 아우성치는군요~^^ 똑똑한 우리 네티즌들은 절대 낚이면 안되겠지요? 만약 실수로 위 악성코드에 감염되었다면 당황하지말고 V3 로 간단하게 치료하시면 되겠습니다! 끝으로 스팸에 의한 악성코드 감염을 예방수칙을 안내해드리겠습니다. 1….

문서 파일에 포함된 악성코드 주의!

메일을 이용하여 메일을 유포하는 방식 중 문서 파일을 이용하여 악성코드를 감염시키는 메일이 확인되어 안내해 드립니다. 이러한 기법은 예전에 발견된 내용이나 블로그에 따로 소개해 드린적이 없어 안내해 드립니다. 이러한 메일은 대부분 첨부파일로 DOC 파일 혹은 RTF 파일이 첨부되게 됩니다. 해당 첨부파일을 열면 아래와 같이 나타나게 됩니다. [그림 1. Microsoft Office 가 설치되어 있지 않은 경우] [그림 2. Microsoft Office 가 설치되어 있는 경우] 만약 시스템에 마이크로스프트 오피스가 설치되어 있으면 아래와 같이 Word 프로그램이 나타날 것이며 설치되어 있지 않을 경우 위와같이 워드패드에서 나타날 것입니다. 문서를 열게 되면 PDF 파일의 아이콘이 나타나며 더블클릭을 하라는 메세지가 보입니다. 해당 아이콘을 더블클릭 하면 아래와 같은 창이 나타나게 됩니다. 이때 [실행] 버튼을 누르게 되면 DOC 파일 내부에 있는 EXE 파일이 실행되며 악성코드에 감염되므로 주의를 하시기 바랍니다. 앞으로는…

You have received an eCard 악성코드 스팸메일 주의!

eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^; 이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요! 아래는 메일의 내용입니다. 메일 제목 You have received an eCard  본문 내용 Good day. You have received an eCard To pick up your eCard, click on the following link (or copy & paste it into your web browser): http://micro.[삭제].com/ecard.zip Your card will be aviailable for pick-up beginning for the next 30 days. Please be sure to view your eCard before the days are up! We hope you enjoy you eCard. Thank You 링크를 통해 받은 파일의 압축을 해제하면 ecard.exe 가 나옵니다. 이번에도 ini 파일 아이콘으로 위장했네요. 위 파일은 V3에서 Win-Trojan/Agent.145920.AE(V3,…