본문 바로가기

FakeAV16

Live Security Platinum 다양한 이름으로 유포되고 있는 허위백신들이 많이 존재한다. 이러한 허위백신은 사용자의 컴퓨터 사용을 불편하게 하고 있다. 6월에 발견된 허위백신 Live Security Platinum 이 7월에는 어떻게 변경되었는지 살펴보겠다. 6월에 발견된 허위백신의 모양은 보통의 보안제품과 유사한 형태를 갖고 있었으며, 7월에 발견된 변종도 유사한 형태를 갖고 있다. [그림1] 6월과 7월에 발견된 Live Security Platium 허위백신 이번에 발견된 허위백신은 독일 우편 배송 업체를 위장한 e-mail 을 통해서 유포되었다. [그림2] 독일 우편 배송 업체를 위장한 e-mail e-mail 본문에는 우편 주소로 전달하는데 실패했고, 첨부된 파일을 확인하라는 내용이다. 첨부된 zip 파일을 압축해제 하면 .. 2012. 7. 27.
미국에서 온 편지… FedEx Post Office 메일로 위장한 악성 스팸 메일이 유포되고 있으며, 메일에는 악성코드가 포함되어 사용자의 PC 사용을 불편하게 하고 있다. 메일 내용에는 소포를 보관하고 있으며, 찾아가지 않을 경우 비용이 청구될 수 있음을 알리며, 메일의 첨부파일 실행을 유도하고 있다. [그림1] FedEx Post Office 를 위장한 스팸 메일 스팸 메일에 첨부된 압축 파일을 해제한 파일이다. [그림2] 첨부된 악성 파일 압축해제 후 실행하면, 자신의 복제 본을 아래와 같이 생성한다. [그림3] 복제된 파일의 생성위치 / 파일명 복제 본이 실행되면 트레이 아이콘이 생성되며, PC가 위험함을 경고한다. [그림4] 복제본이 실행되면, 트레이 아이콘 [그림5] 경고 문구 잠시 후 FakeAV 류의 Smar.. 2012. 6. 1.
안드로이드 모바일 허위 백신 유포 안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다. 특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다. 이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다. 그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 .. 2012. 5. 17.
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) http://core.ahnlab.com/192 http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:\windows\PRAGMA[랜덤한 문자]\ 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 h.. 2010. 7. 1.
Antimalware Doctor (가짜백신) 조치가이드 1. 개 요 현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다. 2. 감염 시 증상 허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다. [그림1. 감염 시 생성되는 창] 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key가 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다. [그림2. Key 활성화 안내창] 트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close를 눌러도 종료되지 않습니다. [그림3. 트레이에 나타나는 아이콘] 3. 조치 방법 현재 V3 제품에서 해당 허위백신을 Win-Tr.. 2010. 5. 10.
Twitter 트위트 메세지를 이용한 악성코드 유포! 많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다. 필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다. 역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다. 잠깐~~ 참고하세요 ! 단축 URL을 사용하게 되는 이유는 Twitter의.. 2010. 3. 31.
악성 스팸 메일 주의! "scan upon download" FakeAV (허위백신 혹은 가짜백신)을 첨부한 악성 스팸메일이 유포되고 있어 사용자 분들의 주의가 요망됩니다. 수신된 악성 스팸메일은 아래 그림과 같이 악성 첨부 파일 'Contract.zip' 을 첨부하고 있으며 첨부된 압축 파일을 다운로드하도록 유도하는 내용이 기재되어 있습니다. 첨부된 악성 파일을 다운로드하여 실행하면 아래와 같이 'XP Security' 라는 FakeAV가 실행되게 됩니다. 첨부된 악성 파일은 V3 엔진에 반영되어 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다. Contract.exe Win-Trojan/Fakeav.201216.B Contract.exe Win-Trojan/Fakeav.202240.G 항상 아래와 같은 사항을 유의하여 메일을 통해 유포되는 악성코드로.. 2010. 3. 29.
Andre Pitre 키워드 검색 시 주의! Andre Pitre는 미국 Actor 입니다. 그가 갑자기 검색 키워드 상위에 랭크가 된 이유를 아시나요?? 바로 그가 데뷔로 발표한 'Your Name' 이라는 노래 때문이라네요 그의 노래를 감상하실 분들은 아래 링크를 눌러주세요~~^^ Andre Pitre -Your Name 역시나 이 기회를 악성코드 유포자는 놓치지를 않았군요 ^^ 아래 Andre Pitre 키워드로 검색한 결과 중 악성코드 유포페이지로 연결되는 검색 결과가 발견되었습니다. 이런 패턴을 너무 많이 봐서 이제는 진부할 법도 하지만 한번 살펴보도록 하겠습니다. 언제나 그랫듯 재활용에 재활용을 거듭하는 플래쉬 이미지와 경고 팝업창을 띄우면서 사용자의 시스템이 악성코드에 감염되었다고 허위로 보고를 하고 있습니다. 다운로드 되는 파일의 이.. 2010. 3. 24.