메일을 통해 전파되는 악성코드 Posted By ASEC , 2010년 8월 5일 1. 서론 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다. 2. 전파 경로 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.유형 1) Facebook 에서 발송한 메일로 위장한 경우 [그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 2) 구글에서 발송한 메일로 위장한 경우 [그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일 유형 3) 초대 E-Card로 위장한 경우 [그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일 유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우 [그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일 유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우 [그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일 위 5가지 유형의…
“Hello” 제목의 악성코드를 첨부한 스팸메일 주의! Posted By ASEC , 2010년 8월 4일 “Hello”라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다. 메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;; Please find attached the new Word document. 첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 [그림2] 첨부 파일 실행 시 접속되는 IP의 위치 스팸메일을 통해 전파되는 악성코드 감염으로부터 예방하기 위해 항상 아래와 같은 사항을 준수해 주시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신)…
Facebook Password Reset Confirmation. Important Message Posted By ASEC , 2009년 12월 16일 또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다. 비밀번호를 재설정하라는 제목으로 “Facebook Password Reset Confirmation. Important Message” 유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다. 아래는 악성 스팸 메일 본문 내용입니다. Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다. Facebook_Password_[랜덤한 숫자].exe – Win-Trojan/Bredolab.27648.L 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
, 스팸 메일 주의! Posted By ASEC , 2009년 10월 29일 Facebook 메일을 위장한 아래 그림의 스팸 메일이 발송되고 있습니다. 필자도 페이스북을 사용하고 있는데 실제 페이스북 UI와 흡사하여 실제 사이트인지 분간하기 어려웠습니다. 하지만 특정 사이트에서 업데이트 파일을 수신하라고 직접 메일을 보내는 경우는 보기 드물고 해당 사이트의 홈페이지 공지 등에서 관련 내용이 없다면 의심해 보아야 할 것입니다. 상기 스팸메일 내 “Update” 버튼이나 “here” 부분을 클릭하면 아래 페이지로 이동하게 됩니다. 상기 페이지에 email과 password를 임의로 입력하여도 접속이 되며 아래 페이지로 이동하게 됩니다. 상기 그림에서 빨간색 네모 안의 “updatetool.exe” 파일을 다운로드하고 설치하게 유도를 합니다. 하지만 다운로드한 파일은 업데이트를 위한 파일이 아닌 V3에서 아래 진단명으로 진단하는 악성파일입니다. updatetool.exe – Win-Trojan/ZBot.105472.C 최근에 계속 연재하고 있는 스팸메일들을 보면 사회공학적 기법들을 많이 사용하고 있습니다. 신뢰할 수 있는 사람이나 기업에서 보낸 메일처럼 위장하여 악성파일을 다운로드하여 실행하게 하거나 계정정보를 탈취하고…
