악성코드 정보
안랩 탐지
위협 통계
조치 가이드
AhnLab

스팸

[악성스팸주의!] Shipping update for your Amazon.com order 254-71546325-658732

Posted By ASEC , 2010년 4월 29일

아마존 주문의 택배 메일을 가장한 메일이 유포되고 있습니다. 주문 상세정보를 확인하기 위해 첨부된 파일을 확인하라고 메일에 기재되어 있어서 사용자로 하여금 실행을 유도합니다. 실제로 메일에 첨부된 압축 파일을 압축해제해 보니아래와 같이 jpg 파일인 것처럼 사용자를 현혹시키네요 아래 링크의 이전 글에서 알려드린 것처럼 확장자 숨기기 옵션을 해제하면 아래 그림처럼 확장자를 확인할 수 있습니다. 다만 실행파일을 의미하는 .exe 와 사용자를 현혹시키기 위한 .jpg 사이에 많은 공백을 두어 사용자로 하여금 jpg 파일인 것처럼 속이려고 하기 때문에 확장자를 자세히 살펴보시기 바랍니다. 파일 확장자 숨기기 옵션 해제 첨부된 파일이 실행되면 대량의 스팸메일이 발송됩니다. 아래 그림은 네트워크 트래픽을 모니터링 한 그림이며 25번 port로 트래픽이 발생하는 것을 확인할 수 있습니다. 이 외 동일한 종류의 악성파일들이 발견되고 있으니 해당 스팸메일 수신 시 주의…

Myspace Password Reset Confirmation! Your Support

Posted By ASEC , 2010년 4월 9일

Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다. 제목 : Myspace Password Reset Confirmation! Your Support Hey , , , , , , , , Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. Thanks, The Myspace Team. 첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다. 허위백신으로 인한 증상 및 조치 방법 : http://core.ahnlab.com/135…

A new settings file for the [사용자메일주소] has just be released

Posted By ASEC , 2010년 2월 27일

악성 파일을 첨부한 스팸메일은 2010년에도 여전히 기승을 부리고 있네요. A new settings file for the [사용자메일주소] has just be released 상기 메일 제목으로 악성파일을 첨부하여 배포되고 있습니다. 메일 내 본문 내용은 아래 회색 박스 안과 같은 내용입니다. 참 그럴 듯하게 작성해 놓았네요. 악성코드를 배포할려면 글을 잘 쓸 필요도 있겠습니다 ^^;;; Dear use of the ahnlab.com mailing service! We are informing you that because of the security upgrade of the mailing service your mailbox [사용자 메일 주소] settings were changed. In order to apply the new set of settings open attached file. Best regards, [사용자 메일 서비스 URL] Technical Support. 첨부된 파일은 settings.zip이며 압축을 푼 모습은 왼쪽 그림과 같습니다. 첨부된 파일은 실행 후 아래와 같이 'XP Guardian'이라는 FakeAV를 실행시켜 허위 진단 및…

updated account agreement

Posted By ASEC , 2010년 2월 14일

“updated account agreement” 메일 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 첨부된 파일의 파일명은 agreement.exe이며 해당 스팸메일의 본문은 아래와 같습니다. Dear Facebook user, Due to Facebook policy changes, all Facebook users must submit a new, updated account agreement, regardless of their original account start date. Accounts that do not submit the updated account agreement by the deadline will have restricted. Please unzip the attached file and run agreement.exe by double-clicking it. Thanks, The Facebook Team 첨부된 파일을 실행할 경우 아래 그림과 같이 SecurityTool이라는 허위 백신이 실행되게 됩니다. 현재 V3에서 아래와 같이 진단하고 있습니다. agreement.exe – Win-Trojan/Agent.19968.TB(V3추가) 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에…

인터넷 페이지를 표시할 수 없습니다. :: Internet Security 2010

Posted By ASEC , 2010년 1월 18일

최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다. 자세한 내용은 “악성 스팸 경고” 카테고리에 관련 글들이 많으니 참조해 주세요. Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다. < Fig 2. Internet Security 2010 > 생성되는 악성파일 중 C:winodowssystem32helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다. < Fig 2. 인터넷 페이지 오류 > Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다. HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries000000000001 하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수…

‹ 이전 1 2 3 4 5 6 7 8 9 10 11 12 다음 ›

보관함

보관함

소식 받기

Facebook
X
RSS 피드

footer

(우) 13493 경기도 성남시 분당구 판교역로 220 | 대표이사 : 강석균 | 사업자등록번호 : 214-81-83536 | 개인정보처리방침
© AhnLab, Inc. All rights reserved.

family site