도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다.
위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다.
예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다.
그리고 위 스팸메일은 아래와 같은 아이콘의 첨부파일을 포함하고 있습니다. 첨부된 파일은 악성코드이므로 실행을 하지 마시기 바랍니다.
위 파일 외에 현재까지 이러한 도메인 제목이 포함된 스팸메일에 첨부된 파일명은 아래와 같습니다.
instructions.exe, setup.exe, settings.exe, open.exe
이러한 첨부된 혹은 링크로 다운로드 받은 파일을 실행할 경우 악성코드가 지속적으로 레지스트리를 수정하여 시작프로그램에 악성코드를 등록 합니다. 그리고 추가적으로 다른 사용자에게 스팸메일을 발송하여 악성코드를 전파하게 됩니다.
현재 해당 악성코드는 V3 제품군에서 아래와 같은 진단명으로 진단 및 치료가 가능합니다.
Win-Trojan/Harebot.29493.B
Win32/FakeavRootkit.B
Win-Trojan/Xema.136192.B
Win-Trojan/Fakeav.155648.F
Win-Trojan/Fakeav.224768
Win-Trojan/Fakeav.144384.D
Win-Trojan/Fakeav.182272.P
Win-Trojan/Downloader.142336.F
Win-Trojan/Katusha.200192.E
Win-Trojan/Kobcka.29492
Win32/Kucirc.worm.151040
항상 아래와 같은 사항을 준수하여 메일로 전파되는 악성코드를 미연에 예방하시기 바랍니다.
* 추가로 아래와 같은 메일도 발견되고 있으니 주의 하시기 바랍니다.
메일의 내용에 포함된 링크의 주소에서 다운로드 되는 파일 혹은 메일에 첨부된 파일은 악성코드 이므로 주의하시기 바랍니다.
제목: *도메인* account notification
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) *도메인*
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions
(C) *도메인*
위 제목 및 메일의 내용에서 *도메인* 으로 표시한 부분은 사용하시는 메일 주소에의 @ 이하의 주소가 나타나게 됩니다.
예를 들어서 blahblah@ahnlab.com 이라는 메일 주소로 해당 스팸 메일을 받게 되면 *도메인* 부분은 ahnlab.com 으로 나타나게 됩니다. 따라서 본인의 회사 혹은 이메일을 서비스를 받는 사이트에서 보낸 것으로 착각을 할 수 있으니 주의를 해야 합니다.
그리고 위 스팸메일은 아래와 같은 아이콘의 첨부파일을 포함하고 있습니다. 첨부된 파일은 악성코드이므로 실행을 하지 마시기 바랍니다.
위 파일 외에 현재까지 이러한 도메인 제목이 포함된 스팸메일에 첨부된 파일명은 아래와 같습니다.
instructions.exe, setup.exe, settings.exe, open.exe
이러한 첨부된 혹은 링크로 다운로드 받은 파일을 실행할 경우 악성코드가 지속적으로 레지스트리를 수정하여 시작프로그램에 악성코드를 등록 합니다. 그리고 추가적으로 다른 사용자에게 스팸메일을 발송하여 악성코드를 전파하게 됩니다.
현재 해당 악성코드는 V3 제품군에서 아래와 같은 진단명으로 진단 및 치료가 가능합니다.
Win-Trojan/Harebot.29493.B
Win32/FakeavRootkit.B
Win-Trojan/Xema.136192.B
Win-Trojan/Fakeav.155648.F
Win-Trojan/Fakeav.224768
Win-Trojan/Fakeav.144384.D
Win-Trojan/Fakeav.182272.P
Win-Trojan/Downloader.142336.F
Win-Trojan/Katusha.200192.E
Win-Trojan/Kobcka.29492
Win32/Kucirc.worm.151040
항상 아래와 같은 사항을 준수하여 메일로 전파되는 악성코드를 미연에 예방하시기 바랍니다.
1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
* 추가로 아래와 같은 메일도 발견되고 있으니 주의 하시기 바랍니다.
제목 : jy@*도메인*
account notification
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else.
Please click on the following link (or copy & paste it into your web browser):
http://xxx.xxx/instructions.exe
(C) *도메인*
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else.
Please click on the following link (or copy & paste it into your web browser):
http://xxx.xxx/instructions.exe
(C) *도메인*
제목 : *도메인* account notification
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run this file and Follow instructions:
http://mailxxxxxxxsss.braxxxxst.com/settings.exe
(C) *도메인*
Dear Customer,
This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account.
We have reasons to beleive that your account may have been accessed by someone else. Please run this file and Follow instructions:
http://mailxxxxxxxsss.braxxxxst.com/settings.exe
(C) *도메인*
메일의 내용에 포함된 링크의 주소에서 다운로드 되는 파일 혹은 메일에 첨부된 파일은 악성코드 이므로 주의하시기 바랍니다.
'악성코드 정보' 카테고리의 다른 글
| Myspace Password Reset Confirmation! Your Support (0) | 2010.04.09 |
|---|---|
| Rootkit을 찾아서~! - IceSword 편 (2) | 2010.04.08 |
| sysinternals에서 배포하는 작지만 강한 tool (1) - whois 편 (0) | 2010.04.02 |
| "DHL..."과 "YOUR TEXT" 악성 스팸메일 경고! (0) | 2010.04.02 |
| Twitter 트위트 메세지를 이용한 악성코드 유포! (4) | 2010.03.31 |
댓글