Ahnlab 프로그램으로 위장한 악성코드 주의! – AhnLaB 레지스터리 최적화 적용파일.exe Posted By ASEC , 2010년 7월 12일 금일 안철수연구소 제품으로 위장한 악성코드가 발견되어 해당 내용에 대해 공지합니다. 이 악성코드는 “AnhLaB 레지스터리 최적화 적용파일.exe“ 라는 파일명으로 torrent (p2p방식의 파일공유) 등을 통하여 유포되고 있으며, 마치 Ahnlab 이 만든 정상프로그램인 것처럼 사용자들을 속여, 악성코드를 실행하게 만들고 있어 주의가 요구됩니다. 아래 그림에서 확인할 수 있듯이, 악성코드는 torrent 공유사이트 등을 통해 안철수연구소의 레지스터리 최적화 프로그램이란 내용으로 현재 빠르게 전파되고 있습니다. [그림1. 악성코드파일이 torrent 공유사이트에 공유된 화면] 해당 악성코드는 아래그림의 아이콘과 “AnhLaB 레지스터리 최적화 적용파일.exe” 란 파일명을 사용하고, 크기는 336KB 정도됩니다. [그림2. Ahnlab 제품으로 위장한 악성코드] 악성코드 파일의 속성을 보시면 Ahnlab 에서 만든 파일이 아닌 것을 쉽게 확인하실 수 있습니다. [그림3. 악성코드 파일의 속성] 실제 안철수연구소에서 레지스트리를 수정해주는 제품은 Registry fix 전용백신으로, 아래와 같은 아이콘을 사용하고 있습니다. [그림4. Ahnlab 에서 베포하는 Registry fix 전용백신] 파일 우클릭 -> 속성에서 확인하실 수…
광고를 가장한 악성코드 다운로드하는 HTML 첨부 스팸메일 주의! Posted By ASEC , 2010년 7월 10일 http://core.ahnlab.com/192http://core.ahnlab.com/193http://core.ahnlab.com/196 상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다. 지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다. Delivery Status Notification (Delay)Delivery Status Notification (Failure) 해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다. Forwarded Message.html 첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다. 난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.
감염시 광고성스팸메일을 대량발송시키는 악성코드 주의! Posted By ASEC , 2010년 7월 7일 오늘 spamer, spambot 등으로 불리는 광고성스팸메일을 뿌리는 악성코드에 상당수의 PC가 감염된 것이 확인되어 관련 내용을 안내해드립니다. 이 악성코드는 아래와 같이 wpv(숫자).exe 파일명으로 퍼져나가고 있습니다. [사용된 파일이름] wpv061278400375.exe wpv791278399429.exe wpv281278399926.exe wpv631278400263.exe wpv621278399510.exe wpv431278399382.exe wpv371278400097.exe wpv511278400048.exe wpv021278399804.exe wpv541278400197.exe wpv091278399986.exe 파일명으로 볼때 Bredolab 의 변종인 것으로 보이네요. 위 악성코드가 실행되면, 아래처럼 explorer.exe 에 ADS형태로 자신을 복사합니다. C:WINDOWSexplorer.exe:userini.exe 또한 Run 레지스트리에 등록하여 부팅시 악성코드가 실행되게 합니다. HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunuserini “C:WINDOWSexplorer.exe:userini.exe” HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunuserini “C:WINDOWSexplorer.exe:userini.exe” 악성코드가 실행되면 아래화면과 같이 smtp(tcp/25번포트) 로 스팸메일을 발송합니다. 발송되는 메일은 아래와 같습니다. 많이 보던 화면일수도 있겠네요 🙂 메일의 그림을 클릭하면 접속되는 페이지 역시 광고(성인약품)페이지입니다. 프로세스 익스플로러 로 보시면 userini.exe 가 explorer.exe 에 붙어서 동작중인 것을 보실 수 있습니다. [악성코드 삭제방법] V3Lite (www.v3lite.com) 와 같은 백신으로 검사하셔서 치료하시거나(진단명 Win-Trojan/Spambot.숫자) gmer로 간단하게 제거하실 수 있습니다. c:windowsexplorer.exe:userini.exe 를 찾아 Delete 를 누르고 재부팅…
UPS #(숫자) 제목의 악성스팸메일 주의하세요! Posted By ASEC , 2010년 7월 2일 금일 UPS invoice(송장) 으로 위장한 악성스팸메일이 또 다시 유입되고 있어 사용자의 주의가 필요합니다. 제목: UPS #2485355621 보낸사람: UPS 본문: Hello, We were not able to deliver postal package you sent on the 29nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Giovanni Smith, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 제목: UPS #6521056755 보낸사람: UPS 본문: Good morning, We were not able to deliver postal package you sent on the 28nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Gregory Boswell, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 메일에 첨부된 압축파일을 해제하면 아래 그림과 같은 UPS_INVOICE_06.2010.DOC.exe 파일이 생성됩니다….
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) Posted By ASEC , 2010년 7월 1일 http://core.ahnlab.com/192http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:windowsPRAGMA[랜덤한 문자] 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다. v3alureon_gen_np.zip 검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다. 은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다. 작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성…
