또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다.

비밀번호를 재설정하라는 제목으로

"Facebook Password Reset Confirmation. Important Message"

유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다.



아래는 악성 스팸 메일 본문 내용입니다.


Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.



V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다.



Facebook_Password_[랜덤한 숫자].exe
    - Win-Trojan/Bredolab.27648.L


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






Posted by 비회원

"important information" 제목의 피싱메일이 유포되고 있습니다.

피싱이란 Private data 와 Fishing의 합성어입니다.
예를 들면, 인지도 있거나 유명한 사이트라고 사칭하여 사용자가 신뢰를 얻은 후 본문 내 링크를 삽입하여 링크를 클릭할 경우 위장된 페이지로 (실제 사이트와 흡사하게 만들어져 있음.) 접속하게 합니다. 그 후 사용자에게 개인정보를 입력하도록 지시를 하고 개인정보를 탈취하여 금융사기 등에 이용하는 것을 의미합니다.


현재 유포되고 있는 악성 피싱메일은 해외 사이트이므로 국내 사용자의 피해는 거의 없을 것이라고 예상되지만 이와 같은 유사한 악성 피싱메일들이 국내에서도 유포되기 때문에 피싱 관련 정보를 알려드리고자 합니다.

우선 해당 메일의 본문은 아래와 같습니다.

Dear American Express customer,
A newly revised American Express Online Form has been issued by the American Express Customer Care Team. Please complete this form as soon as possible You can access the form at:
American Express Online Form. <- 링크. 피싱 페이지로 링크가 삽입되어 있음.
Thank you for choosing American Express.
Sincerely,
American Express
To learn more about e-mail security or report a suspicious e-mail, visit us at americanexpress.com/phishing. We are unable to answer replies to this e-mail.
Copyright 2009 American Express Company. All rights reserved.



본문 내 악성 링크를 클릭하게 되면 아래와 같은 페이지로 연결되게 됩니다.




실제 American express 페이지와 유사하여 악성페이지인지 분간하는데 어려움이 있습니다.
개인 정보 입력란에 임의의 값을 입력하여도 확인되었다는 메세지가 팝업되고 OK 버튼을 클릭하게 되면 원래의 american express 홈페이지로 연결되게 됩니다.

피싱에 대응하기 위해서는 아래와 같은 사항을 점검해 주시기 바랍니다.


1. 피싱 사이트를 진단하고 차단할 수 있는 프로그램을 설치합니다.



[안철수연구소 제품인 SiteGuard에서 피싱 사이트를 차단한 화면]


2. 메일 본문 내 링크는 가급적이면 직접 클릭하지 마시고 해당 사이트의 주소를 직접 입력하여 접속합니다.



'악성코드 정보' 카테고리의 다른 글

your VISA card 4XXX-XXXX-XXXX-XXXX: ...  (2) 2009.12.22
Facebook Password Reset Confirmation. Important Message  (4) 2009.12.16
important information  (2) 2009.12.10
교묘하게 숨기는 악성코드!  (8) 2009.12.04
State Vaccination Program  (2) 2009.12.02
for 메일주소 owner  (2) 2009.11.21
Posted by 비회원
외국에서 Autorun 계열 악성코드가 시작프로그램에 등록하는 과정에서 교묘하게 사용자의 눈을 속이는 방식으로 숨기고 있다고 하여 한국어로 재구성을 해보았습니다. 그럼 아래 그림을 먼저 보도록 하겠습니다.


위 화면에서 무언가 이상한점을 발견하셨나요? 얼핏봐서는 아무리 봐도 이상한 점을 찾을 수 없습니다. 그럼 아래 그림을 보도록 하죠.


자... 이제 이해가 되시는가요? 그렇습니다. "(비어 있음)" 이라는 바로가기 아이콘을 시작프로그램에 등록하여 C:\Virus.exe 파일을 실행시키고 있는 것입니다. 얼핏봐서는 아이콘도 없고 하여 속아넘어갈 수 있습니다.

마지막으로 원래 정상적인 화면은 아래와 같습니다. 항상 이러한 부분도 세심히 살펴볼 필요가 있어 보입니다.



출처 : http://www.sophos.com/blogs/sophoslabs/?p=7786

'악성코드 정보' 카테고리의 다른 글

Facebook Password Reset Confirmation. Important Message  (4) 2009.12.16
important information  (2) 2009.12.10
교묘하게 숨기는 악성코드!  (8) 2009.12.04
State Vaccination Program  (2) 2009.12.02
for 메일주소 owner  (2) 2009.11.21
payment request from "특정 문자"  (2) 2009.11.19
Posted by 비회원

"State Vaccination Program" 이란 제목의 악성 링크를 삽입한 스팸메일이 유포 중입니다.

스팸메일의 본문은 아래와 같으며 빨간색 박스로 표시한 부분에 악성링크가 삽입되어 있습니다.



위 그림에서 빨간색 박스 내 링크를 클릭하게 되면 아래의 페이지로 이동하게 됩니다. 아래 페이지에서 특정 파일을 다운로드하도록 지시합니다.




다운로드 된 파일은 V3에서 아래와 같이 기진단되고 있습니다.


vacc_profile.exe 
 - Win-Trojan/ZBot.130560.C(V3)


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.





Posted by 비회원
아래와 같은 스팸메일이 유포되고 있으니 주의하시기 바랍니다. 메일 내용에 있는 링크로 접속을 하게 되면 아래의 화면과 같은 페이지가 나타 납니다.

제목 : for 메일주소 owner

Dear owner of the 메일주소 .com mailbox,
You have to change the security mode of your account, from standart to secure. Please change the security mode by using the link below:
http://accounts.ahnlab.com.ftpddrs.be/webmail/settings/noflash.php?mode=standart&id=95383964013147951154240211988041322539068388129961505820440063286534670523107&email=메일주소



해당 페이지를 보려면  Macromedia Flash Player 가 필요하다며 설치를 유도합니다. 해당 파일은 악성코드로 절대로 다운로드 하셔서 실행을 하면 안됩니다.  현재 V3 제품에서는 Win-Trojan/ZBot.123392.B 진단명으로 진단하고 있습니다. 항상 아래 사항을 기억하여 스팸메일로 유포되는 악성코드를 주의하시기 바랍니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
Posted by 비회원
Gateway Computers, Domtar,  등 특정문자를 제목에 넣어 광고를 하며 설치 프로그램의 실행을 유도하는 스팸메일이 발견되었습니다.

제목 : payment request from "특정 문자"

We recorded a payment request from "특정 문자" to enable the charge of $498.71 on your account.
The payment is pending for the moment.
If you made this transaction or if you just authorize this payment, please ignore or remove this email message. The transaction will be shown on your monthly statement as "특정 문자".
If you didn't make this payment and would like to decline it, please download and install the transaction inspector module (attached to this letter).

첨부파일 : module.zip


해당 첨부 파일은 악성코드이며 V3 제품에서 Win-Trojan/Malware.18944.J 진단명으로 진단하고 있습니다. 항상 아래와 같은 사항을 확인하고 지켜 스팸메일을 통해 유포되는 악성코드로 부터 시스템을 지키기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

Posted by 비회원

"Your credit balance is over its limit"   제목의 악성파일을 첨부한 스팸메일이 유포 중입니다.

해당 스팸 메일의 본문은 아래와 같습니다.

Dear Verizon Wireless customer,
Your credit balance is over its limit. Please use the attached Verizon Wireless Balance Checker Tool to review and analyze your payments.
Yours sincerely,
Verizon Wireless Customer Services

해당 스팸메일에 첨부된 악성파일은 아래와 같으며 V3에서 기진단되고 있습니다.

balancechecker.exe
 - Win-Trojan/Zbot.25088

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.


Posted by 비회원
메일함이 가득 찼다는 내용의 스팸에일이 유포되고 있어 주의를 요구 합니다.

제목 : your mailbox has been deactivated

We are contacting you in regards to an unusual activity that was identified in your mailbox. As a result, your mailbox has been deactivated. To restore your mailbox, you are required to extract and run the attached mailbox utility.
Best regards, ahnlab.com technical support.

첨부파일 : utility.zip


이와 같은 메일을 받았을 경우 첨부파일을 실행하지 말고 바로 삭제하시기 바랍니다. 아래와 같은 사항만 늘 숙지하고 지킨다면 스팸메일을 통해 악성코드가 감염되는 것을 예방하실 수 있으리라 생각합니다.

현재 V3 제품에서는 Win-Trojan/Malware.18944.J 진단명으로 진단하고 있습니다.


1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
Posted by 비회원
콘피커 웜이 퍼지고 있으며 첨부된 파일로 스캔을 권유하는 악성 스팸메일이 유포되고 있습니다.
해당 스팸메일의 본문은 아래와 같습니다.

Dear Microsoft Customer,
Starting 12/11/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division


이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서 진단되고 있으니 감염 시 수동 검사를 통하여 진단/치료해 주시기 바랍니다.

3YMH6JJY.exe : Win-Trojan/Cutwail.55296

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.


Posted by 비회원
DHL을 가장하여 악성파일을 첨부한 메일이 다시 스팸메일로 전파되고 있습니다.

해당 스팸 메일의 본문은 아래와 같습니다.


Dear customer!
The courier company was not able to deliver your parcel by your address.
You may pickup the parcel at our post office personaly.
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.
Thank you for attention.
DHL Express Services.


이 스팸메일에 첨부된 파일은 아래와 같으며 V3에서 진단되고 있습니다.

3YMH6JJY.exe 
 - Win-Trojan/Downloader.56320.CP

앞선 글들에서 말씀드렸듯이 악성 스팸메일들은 사회공학적인 기법들을 많이 사용하므로 지인이나 유명한 인사 혹은 회사로부터 메일을 수신하더라도 한번 더 확인해 볼 것을 권해드리며 백신 제품은 항상 최신 엔진 버전으로 유지하시어 확인되지 않은 파일이 첨부되었을 경우 반드시 백신 제품을 이용하여 검사해 보시기 바랍니다.



Posted by 비회원
TAG Spam, V3, 스팸