Spam30 [악성스팸메일] Spam from your Facebook account 2011년 페이스북(facebook) 사용자가 10억명을 넘어설 것이라는 예측이 나오는 가운데, 악성코드 제작자가악성코드를 유포를 위해 엄청난 사용자를 확보한 페이스북을 사칭하여 이를 악용하는데 최적의 소재이다. 이미 페이스북을 사칭하여 악성코드를 첨부한 스팸메일이 지속적으로 발견되고 있으며 이는 단연 페이스북 뿐만 아니라 트워터, 마이스페이스 등도 악성코드 제작자에 의해 악성코드 유포에 악용되고 있다. 참고로 블로그를 통해 포스팅하였던 페이스북을 위장하여 악성코드를 첨부한 스팸메일 관련 글은 아래와 같다. 2010/04/27 Facebook Password Reset Confirmation! Support Message. 2010/02/14 updated account agreement 2009/12/.. 2011. 5. 3. 영문으로 수신된 E-mail 어떻게 할까? 1. 서론 - 영문으로 수신된 E-mail 을 받게 되면 호기심이 생기기 마련이죠? "E-mail 에는 어떤 내용이 있을까?" "첨부 파일은 뭐지...?" 하는 생각에 무심코 열어보기 쉽죠? - 이러한 사용자들의 호기심을 이용하여, 스팸메일에 악성코드가 포함되어 도착하곤 합니다. 더욱이 요즘은 스마트폰 1000만시대에 SNS 하나쯤은 사용하고 있을 것입니다. 이러한 사용자들을 겨냥한 악성코드가 끊임없이 나타나고 있어, 이에 대한 정보를 알려 드립니다. 2. E-mail 본문 & 악성코드 파일 - FaceBook Service.에서 보낸것으로 위장하여, 비밀번호가 변경되었다는 안내. 아이콘은 문서파일 처럼 보여줌으로써, 사용자로 하여금 악성파일을 실행하도록 유도 합니다. 실제로 문서파일이 아니며, exe .. 2011. 4. 1. [악성스팸메일 주의] "report", "Delivery Status Notification (Failure)" "report", "Delivery Status Notification (Failure)" 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목 ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목 ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 .. 2010. 9. 21. "Hello" 제목의 악성코드를 첨부한 스팸메일 주의! "Hello"라는 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있어 사용자들의 주의가 당부됩니다. 메일 본문은 간단 명료하게 첨부된 파일을 확인하라는 내용입니다. Facebook 패스워드 변경, DHL 운송 메일 등 사용자를 현혹하기 위해 많은 문구와 이미지를 썼는데 이번에는 1문장으로 끝이네요 ^^;; Please find attached the new Word document. 첨부된 압축파일을 압축해제하면 아래와 같이 doc 문서 파일인 것처럼 위장한 악성코드를 확인하실 수 있으며 V3 제품으로 아래와 같은 진단명으로 진단/치료가 가능합니다. Win-Trojan/Agent.14848.TT [그림1] 스팸메일에 첨부된 악성코드 [그림2] 첨부 파일 실행 시 접속되는 IP의 위치 스팸메일을 통해 전파.. 2010. 8. 4. "Email Policy Violation", "FROM Taylor Wallace" 메일 주의하세요! 아래 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 메일 본문은 첨부한 악성코드를 확인하기 위해 첨부한 파일을 다운로드하여 실행하도록 사용자에게 유도하도록 작성되어 있으며 사용자들의 각별한 주의가 필요합니다. Email Policy Violation FROM [영문명 이름] 아래 링크에 포스팅 된 글에 기재된 첨부파일과 똑같은 형식의 파일 아이콘 형식이며 실행 시 FakeAV가 실행되어 허위 진단 후치료를 위해 사용자에게 결제를 유도합니다. http://core.ahnlab.com/203 http://core.ahnlab.com/152 위 링크에 포스팅 된 글에서 언급해 드렸듯이 실행파일이 아닌 것으로 위장하는 파일들은 아래와 같이 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 옵션.. 2010. 7. 15. 광고를 가장한 악성코드 다운로드하는 HTML 첨부 스팸메일 주의! http://core.ahnlab.com/192 http://core.ahnlab.com/193 http://core.ahnlab.com/196 상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다. 지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다. Delivery Status Notification (Delay) Delivery Status Notification (Failure) 해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다. Forwarded Message.html 첨부된 html 파일을 실행하면 이전과 동일하게 .. 2010. 7. 10. 광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) http://core.ahnlab.com/192 http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:\windows\PRAGMA[랜덤한 문자]\ 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 h.. 2010. 7. 1. 광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2) http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 .. 2010. 6. 30. 이전 1 2 3 4 다음
