Spam

미국에서 온 편지…

FedEx Post Office 메일로 위장한 악성 스팸 메일이 유포되고 있으며, 메일에는 악성코드가 포함되어 사용자의 PC 사용을 불편하게 하고 있다. 메일 내용에는 소포를 보관하고 있으며, 찾아가지 않을 경우 비용이 청구될 수 있음을 알리며, 메일의 첨부파일 실행을 유도하고 있다.   [그림1] FedEx Post Office 를 위장한 스팸 메일     스팸 메일에 첨부된 압축 파일을 해제한 파일이다.   [그림2] 첨부된 악성 파일   압축해제 후 실행하면, 자신의 복제 본을 아래와 같이 생성한다.   [그림3] 복제된 파일의 생성위치 / 파일명     복제 본이 실행되면 트레이 아이콘이 생성되며, PC가 위험함을 경고한다.   [그림4] 복제본이 실행되면, 트레이 아이콘       [그림5] 경고 문구       잠시 후 FakeAV 류의 Smart Fortress 2012 화면이 팝업 된다.   [그림6] FakeAV 검사 화면   경고와 함께…

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포

2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 “Kim Jong Il Malicious Spam Found“를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다. 트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.   해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다. 해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다.  그러나 해당 파일은…

[악성스팸경보] FedEx 메일을 위장한 악성스팸!

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다. 이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다. 아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다. 2009/10/20 Fedex Tracking [숫자] 참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다. 2010/07/02 UPS #(숫자) 제목의 악성스팸메일 주의하세요!  2010/01/12 UPS Delivery Problem NR.숫자 (2) 2009/11/06 [주의] “UPS Delivery Problem” 스팸 메일 (2) 2009/10/28 “UPS Invoice 5305325782943” 스팸 메일 주의! (1) 2009/11/11 [악성 스팸메일 주의!] “DHL Tracking Number 3YMH6JJY” (1) 2009/10/20 DHL service. Please get your parcel. Delivery NR.[숫자] (9) 2009/10/16 DHL…

[악성스팸메일] Spam from your Facebook account

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27   Facebook Password Reset Confirmation! Support Message. 2010/02/14   updated account agreement 2009/12/26   “new login system”, “Facebook Update Tool” 2009/12/16   Facebook Password Reset Confirmation. Important Message 2009/10/29   , 스팸 메일 주의! 이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다. 메일제목 : Your password is changed 메일본문 Good afternoon Spam is sent from your FaceBook account. Your password has been changed for…

영문으로 수신된 E-mail 어떻게 할까?

1. 서론 – 영문으로 수신된 E-mail 을 받게 되면 호기심이 생기기 마련이죠? “E-mail 에는 어떤 내용이 있을까?”  “첨부 파일은 뭐지…?”  하는 생각에 무심코 열어보기 쉽죠? – 이러한 사용자들의 호기심을 이용하여, 스팸메일에 악성코드가 포함되어 도착하곤 합니다. 더욱이 요즘은 스마트폰 1000만시대에 SNS 하나쯤은 사용하고 있을 것입니다. 이러한 사용자들을 겨냥한 악성코드가 끊임없이 나타나고 있어, 이에 대한 정보를 알려 드립니다. 2.  E-mail 본문 & 악성코드 파일 – FaceBook Service.에서 보낸것으로 위장하여, 비밀번호가 변경되었다는 안내. 아이콘은 문서파일 처럼 보여줌으로써, 사용자로 하여금 악성파일을 실행하도록 유도 합니다. 실제로 문서파일이 아니며, exe 확장자를 가진 실행파일 입니다. [그림1] FaceBook Service 로 위장한 E-mail 내용   [그림2] E-mail 에 첨부된 악성코드 3. 증상 – Facebook_Password 파일이 실행되면, 이번엔 정상 문서 파일이 열립니다.  (악성코드에 감염되지 않은것 처럼 사용자를 혼란시키기 위한 목적) [그림3] 사용자를 속이기 위한 문서 파일(정상)…