V3

“new login system”, “Facebook Update Tool”

예전에 페이스북 사이트를 가장한 악성파일을 첨부한 스팸 메일 기억나시나요? 이번 피싱메일도 페이스북 사이트를 가장하는데 이전과 다르게 피싱으로 계정 등과 같은 개인 정보를 수집하는 목적으로 유포되고 있습니다. 흡사 페이스북 사이트와 유사하여 쉽게 피싱을 당할 수 있으니 PC 사용자들의 주의가 당부됩니다. 현재 유포되고 있는 악성 피싱 메일의 제목은 아래와 같습니다. new login system Facebook Update Tool 제목은 상이하지만 메일 본문은 아래와 같이 동일한 내용입니다. facebookDear Facebook user, In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security. Before you are able to use the new login system, you will be required to update your account. Click here…

Facebook Password Reset Confirmation. Important Message

또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다. 비밀번호를 재설정하라는 제목으로 “Facebook Password Reset Confirmation. Important Message” 유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다. 아래는 악성 스팸 메일 본문 내용입니다. Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다. Facebook_Password_[랜덤한 숫자].exe     – Win-Trojan/Bredolab.27648.L 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

State Vaccination Program

“State Vaccination Program” 이란 제목의 악성 링크를 삽입한 스팸메일이 유포 중입니다. 스팸메일의 본문은 아래와 같으며 빨간색 박스로 표시한 부분에 악성링크가 삽입되어 있습니다. 위 그림에서 빨간색 박스 내 링크를 클릭하게 되면 아래의 페이지로 이동하게 됩니다. 아래 페이지에서 특정 파일을 다운로드하도록 지시합니다. 다운로드 된 파일은 V3에서 아래와 같이 기진단되고 있습니다. vacc_profile.exe   – Win-Trojan/ZBot.130560.C(V3) 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우!

1. 개 요 최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다. 2. 증 상 컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다. 3. 조치 방법 1) [시작] – [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다. 2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다. HKEY_LOCAL_MACHINE                          SOFTWARE                                     Microsoft                                            Windows NT                                                        CurrentVersion                                                                           Winlogon 3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다. 4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다….

[악성 스팸메일 주의!] “Your credit balance is over its limit”

“Your credit balance is over its limit”   제목의 악성파일을 첨부한 스팸메일이 유포 중입니다. 해당 스팸 메일의 본문은 아래와 같습니다. Dear Verizon Wireless customer, Your credit balance is over its limit. Please use the attached Verizon Wireless Balance Checker Tool to review and analyze your payments. Yours sincerely, Verizon Wireless Customer Services 해당 스팸메일에 첨부된 악성파일은 아래와 같으며 V3에서 기진단되고 있습니다. balancechecker.exe  – Win-Trojan/Zbot.25088 앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.