V3

[악성스팸메일] Spam from your Facebook account

2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해  엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27   Facebook Password Reset Confirmation! Support Message. 2010/02/14   updated account agreement 2009/12/26   “new login system”, “Facebook Update Tool” 2009/12/16   Facebook Password Reset Confirmation. Important Message 2009/10/29   , 스팸 메일 주의! 이번에 발견된 페이스북을 위장한 악성 스팸메일의 제목과 본문은 아래와 같다. 메일제목 : Your password is changed 메일본문 Good afternoon Spam is sent from your FaceBook account. Your password has been changed for…

[긴급] MBR 및 파일 손상 !! 시스템 복구 불가능 !! 부팅전에 전용백신으로 조치하세요 !!

◆ 서론  2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법  A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법  A. 안전모드(네트워크사용)로 부팅  B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사 따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는 전용백신으로 선 조치 후 PC 를 사용하시기 바랍니다. MBR 이란? 하드 디스크의 맨 앞에 기록되어…

‘야마꼬!’ 키보드를 누르면 특정 소리가 들린다?

1. 서론 키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다. * 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338 2. 감염 시 증상 아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.       [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문 해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다. 스페이스 바 : “야마꼬” 엔터 키 : “아하하하” 그 외 Tab, Delete 키 등 [표 1] 키보드 키에 따른 소리 또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도…

안드로이드 동영상 플레이어 앱을 위장한 악성 앱 주의요망

1. 서론 성인 동영상 플레이어를 위장하여 특정번호로 SMS 메시지가 전송되어 요금을 과금시키는 안드로이드 악성 어플리케이션(App)이 발견되어 관련 내용을 공유해 드립니다.2. 악성코드 정보 해당 악성 어플리케이션은 2010년 8월 10일 최초 발견되었으며 그 이후 계속해서 변형이 발견되었습니다.  발견 일시  8월 10일  9월 9일  10월 12일  아이콘  어플리케이션 명  MoviePlayer  PornoPlayer  PornoPlayer [표 1] 성인 동영상 플레이어를 위장한 악성 어플리케이션 [그림1] 안드로이드 폰에 설치된 PornoPlayer 어플리케이션 어플리케이션 내부에 아래와 같은 코드가 존재하여 어플리케이션이 설치되면 특정 번호로 SMS 메시지를 보내 요금을 과금시키는 특징이 있습니다.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846978”, 0, 0);    * '7132' 번호로 “846978” 이라는 문자메시지를 발송.       아래의 코드들은 전달되는 텍스트만 다를 뿐 동일함.   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “845784”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “846996”, 0, 0);   android.telephony.SmsManager.sendTextMessage(“7132”, 0, “844858”,…

“Resume” 제목을 쓰는 악성 스팸 주의하세요.

현재 “Resume” 라는 제목을 쓰는 악성스팸메일이 다수 유입되고 있으므로 주의가 필요합니다. 제목:  Resume 내용:  Attached, please find 첨부파일:  resume.html [표 1] 스팸메일의 내용 악성스팸메일에 첨부된 “resume.html” 을 열게 되면 특정 url 로 리다이렉트되게 되는데, 웹페이지가 마치 윈도우 탐색기와 같은 모습을 하고 있으며, 자신의 컴퓨터가 감염된 것처럼 화면을 구성하여 링크된 악성파일을 다운받도록 유도합니다. [그림 1] 윈도우 탐색기의 모습을 띄는 웹페이지 [그림 2] 클릭시 다운로드 되는 가짜백신 [그림 3] 악성코드의 아이콘 첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다. 사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를…