맥북과 관련된 스팸메일이 유포되고 있어 주의를 요구 합니다.

제목 : Congratulations
Congratulations!! You have won todays Macbook Air.
Please open attached file and see datails.


winner.exe 파일이 첨부되어 있으며 해당 파일은 악성코드 입니다. 해당 악성코드는 현재 V3 제품에서 Trojan/Downloader.51200.AL 으로 진단하고 있습니다.

늘 강조하지만 아래와 같은 사항은 숙지하시고 지키신다면 스팸메일로 유포되는 악성코드로 부터 시스템을 지킬 수 있으리라 생각합니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원

UPS를 가장한 스팸메일이 발견되고 있습니다. 해당 메일은 inv.exe 라는 악성 파일을 첨부하고 있습니다.

메일 본문은 아래와 같습니다.

Dear customer!
Unfortunately we were not able to deliver the postal package which was sent on the 20th of June in time
because the addressee's address is incorrect.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service of America.


해당 파일은 현재 V3에서 아래와 같이 진단을 하고 있습니다.

Win-Trojan/Downloader.51200.AL(V3)

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.
신고
Posted by 비회원
TAG UPS, V3, 스팸

안철수연구소 ASEC대응팀에서는 Active Honeypot 모니터링을 통해서 "부팅불가 & 검은화면에 마우스" 악성코드의 변종이 여러 사이트에서 유포중임을 인지하여 V3 엔진에 반영하였으며 V3로 진단/치료가 가능합니다.

Win-Trojan/Daonol.46080
Win-Trojan/Daonol.71168
Win-Trojan/Kates.71168
Win-Trojan/Kates.49152
Win-Trojan/Daonol.48640


1.
자체 테스트한 결과 이번 변종에서 수정된 사항은 아래와 같다.

(1)
기존의 변종들에 존재하는 버그로 인해서 부팅이 안되던 현상은 이번 변종에서는 해결되어
감염되어도 부팅이 정상적으로 가능하였다.

(2) 기존의 변종들이 실행될때 추가한 레지스트리 값이 이번 변종에서는 시스템에 따라 은폐되어 보이지 않을 수도 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
midi9




2. 수동 조치 방법

1) V3 실시간 검사를 일시 중지함.
2)
아래의 툴을 다운로드하여 등록된 레지스트리 키값 "midi9" data값 확인
.

[IceSword 다운로드]
 

* 주의
midi9
키값에 등록된 Data 값에 실제 악성파일 경로와 파일이름이 등록되어 있습니다. 등록되는 파일 이름과 파일이 저장된 경로가 랜덤하므로 아래 "midi9 키값에 등록된 데이터 값 예제 그림파일" 링크를 클릭하셔서 그림 내 빨간 네모 박스 안의 값을 반드시 확인해 주시기 바랍니다.


[
삭제할 레지스트리 키값
]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\<font color=blue>midi9</font>
 
 
[midi9 키값에 등록된 데이터 값 예제 그림파일]

 
3) "midi9"
레지스트리 키값을 삭제 후 시스템 재부팅
.
4)
재부팅 후 IceSword 툴을 실행하여 아래의 파일을 삭제

[삭제할 파일]
2)
번에서 확인한 midi9키값에 등록된 데이터 값


3. 사용하는 취약점

MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx

Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx

Adobe Reader / Acrobat AcroPDF ActiveX Control 취약점


4.
감염시 증상은 아래 URL에 나와 있는 기존 분석정보와 거의 유사하다.

http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28059
http://core.ahnlab.com/58

 

 

신고
Posted by 비회원
아래와 같은 문구의 스팸메일이 발생하고 있어 주의하시기 바랍니다.

제목 : get back to my office for more details

Please read the attached letter and get back to my office for more details to proceed further.
Thanks and have a very nice day.

첨부파일 : info.zip

해당 메일에 첨부된 파일은 악성코드 이므로 절대 실행을 하지 마시기 바랍니다. 이러한 스팸메일과 관련하여 아래 사항만 늘 숙지하고 지킨다면 스팸메일을 통한 악성코드는 예방하실 수 있으리라 생각 됩니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원
TAG Spam, 스팸
최근 트위터(Twitter)를 사칭한 피싱 사이트로 유도하는 아래와 같은 메시지 혹은 스팸메일이 유포되고 있으니 주의하시기 바랍니다. 이전에 포스팅한 페이스북(FaceBook)을 위장한 스팸메일처럼 역시 해당 메세지도 사회공학적 기법을 이용합니다.

hi. this you on here? http://bit.ly/******

위 메세지에서 안내해는 사이트에 접속하면 아래와 같이 트위터와 똑같이 생긴 사이트로 접속을 하게 됩니다.


해당 사이트에서 로그인을 하게 되면 사용자 계정이 탈취당하게 됩니다. 피싱 사이트는 아래와 같은 사항만 늘 숙지하고 지킨다면 계정을 안전하게 지킬 수 있으리라 생각합니다.

1. 스팸메일, 게시물 혹은 댓글을 이용하여 로그인을 유도하는 사이트는 의심을 합니다.
2. 로그인 시 항상 현재 내가 로그인 하는 사이트가 정확한 주소로 연결되어 있는지 웹브라우져에서 확인합니다.
3. 만약 유출될 상황을 대비하여 모든 사이트에 똑같은 계정 및 패스워드를 사용하지 않도록 합니다.
신고
Posted by 비회원
Facebook 메일을 위장한 아래 그림의 스팸 메일이 발송되고 있습니다. 필자도 페이스북을 사용하고 있는데 실제 페이스북 UI와 흡사하여 실제 사이트인지 분간하기 어려웠습니다. 하지만 특정 사이트에서 업데이트 파일을 수신하라고 직접 메일을 보내는 경우는 보기 드물고 해당 사이트의 홈페이지 공지 등에서 관련 내용이 없다면 의심해 보아야 할 것입니다.


상기 스팸메일 내 "Update" 버튼이나 "here" 부분을 클릭하면 아래 페이지로 이동하게 됩니다.


상기 페이지에 email과 password를 임의로 입력하여도 접속이 되며 아래 페이지로 이동하게 됩니다.


상기 그림에서 빨간색 네모 안의 "updatetool.exe" 파일을 다운로드하고 설치하게 유도를 합니다. 하지만 다운로드한 파일은 업데이트를 위한 파일이 아닌 V3에서 아래 진단명으로 진단하는 악성파일입니다.

updatetool.exe 
 -  Win-Trojan/ZBot.105472.C

최근에 계속 연재하고 있는 스팸메일들을 보면 사회공학적 기법들을 많이 사용하고 있습니다. 신뢰할 수 있는 사람이나 기업에서 보낸 메일처럼 위장하여 악성파일을 다운로드하여 실행하게 하거나 계정정보를 탈취하고 있습니다.


신고
Posted by 비회원
서버 업그레이드를 알림을 위장한 악성코드 유포 메일이 확인되어 주의를 요합니다.

제목 : Read carefully - Important User Notification

Attention!

  On October 30, 2009 server upgrade will take place. Due to this
the system may be offline for approximately half an hour.
The changes will concern security, reliability and performance of
mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded
server software you should run SSl certificates update procedure.
 This procedure is quite simple. All you have to do is just to
 click the link provided, to save the patch file and then to run
 it from your computer location. That's all.

http://주소

 Thank you in advance for your attention to this matter and sorry
 for possible inconveniences.

 System Administrator

해당 메일에 링크된 파일 (patch.exe)은 악성코드 이므로 다운로드 하여 실행하지 마시기 바랍니다.
해당 파일은 현재 V3 제품에서 Win-Trojan/ZBot.105984.B로 진단하고 있습니다.

이러한 스팸메일과 관련하여 아래 사항만 늘 숙지하고 지킨다면 스팸메일을 통한 악성코드는 예방하실 수 있으리라 생각 됩니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Posted by 비회원
TAG Spam
아래 그림과 같이 UPS 메일인 것처럼 위장하고 파일을 첨부하여 스팸메일을 발송하고 있습니다.



아래 그림은 첨부된 파일이며  V3에서 아래 진단명으로 진단을 하게 됩니다.

Win-Trojan/ZBot.104960.E

V3엔진은 항상 최신버전인지 확인해 주시고 만약, 아래 악성파일을 실행시켜 감염이 되셨다면 V3  수동검사를 통하여 삭제해 주시기 바랍니다.


신고
Posted by 비회원
TAG UPS, V3, 스팸
악성파일이 첨부된 새로운 스팸 메일이 발견되었습니다.

이 스팸메일의 제목은 "You've received a postcard"  이며
본문은 아래와 같습니다.

Good day.
Your family member has sent you an ecard from 123greetings.com.
Send free ecards from 123greetings.com with your choice of colors, words and music.
Your ecard will be available with us for the next 30 days.
If you wish to keep the ecard longer, you may save it on your computer or take a print.
To view your ecard, open zip attached file.

이 스팸메일에 첨부된 허위백신을 다운로드하면 아래 그림과 같습니다.


상기 메일을 수신하시면 바로 삭제해 주시기 바랍니다.
 
만약, 첨부파일을 실행시켰다면 V3에서 Win-Trojan/Fakeav.Gen 진단명으로 진단되므로 엔진을 최신 엔진으로 업데이트한 후 치료하시기 바랍니다.


신고
Posted by 비회원
Win-Trojan/ZBot.99840.D(V3추가)Win-Trojan/ZBot.99840.D(V3추가)Microsoft has released an update for Microsoft Outlook 라는 제목의 스팸메일이 유포되고 있으니 주의 하시기 바랍니다. 스팸메일 내용을 열어보면 아래와 같은 메세지가 나타납니다.



Microsoft Outlook / Outlook Express의 보안 업데이트를 가장하여 유포되고 있는 악성코드 입니다. 얼핏보면 마이크로소프트 사에서 공식적으로 배포하는 보안패치 같지만 실제 다운로드 주소는 마이크로소프트 사의 URL이 아닙니다.

현재 V3 제품에서는 해당 파일을 Win-Trojan/ZBot.99840.D 로 진단하고 있습니다. 아래 내용만 숙지하고 지킨다면 스팸메일로 유입되는 악성코드는 예방하실 수 있을거 같습니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.



신고
Posted by 비회원