본문 바로가기

스팸메일32

[주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 최근 들어 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 악성코드가 유포되고 있다. 해당 파일명은 imageXXX_M-003 장비일람표.dwg.exe 형식을 가지며 주로 스팸 메일을 통해 유포되고 있는 것으로 추정된다. 위와 같이 유포된 파일은 VB(VisualBasic) 아이콘을 사용하며 윈도우 폴더 기본 옵션인 확장명 숨기기 기능을 해제 할 경우 다음과 같은 dwg 파일명 뒤에 .exe 확장자가 추가적으로 붙은 것을 알 수 있다. 실제 해당 악성 파일은 Visual Basic 언어로 만들어진 exe 실행 파일이다. 주로 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 상용 빌더(Builder) 또는 커스텀 패커를 이용하여 만들어지기 때문에 파일의 코드 외형 특징과.. 2020. 2. 27.
국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드 최근 들어 국내 기업을 사칭한 이메일로 유포되는 악성코드가 증가하고 있다. 메일 내용은 수신인을 고려하여 절묘하게 작성되어 있어서, 공격 대상의 악성코드 실행 가능성을 높였다. 이메일은 lzh, r22 등의 압축 파일 포맷으로 된 첨부 파일로 포함하고 있다. 기존에 zip, egg 등의 좀 더 일반적인 파일 포맷을 이용한 것과는 비교되는 특징이다. 압축 파일 내부에는 악성 exe 실행 파일이 있고, 공격 대상이 이를 실행할 경우 악성 기능이 실행된다. 아래는 2월 10일 유포되었던 이메일이다. exe 실행 파일은 Visual Basic으로 만들어져 있다. 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 빌더(Builder)를 이용하여 만들어지기 때문에 파일의 코드 외형 특징.. 2020. 2. 11.
송장 메일로 유포되는 엑셀 문서 주의 (2) 10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다. 엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다. 2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 https://asec.ahnlab.com/1254 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월.. asec.ahnlab.com 이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유.. 2019. 10. 22.
과속 범칙금 메일로 위장한 악성코드 유포 최근 과속 범칙금 메일을 위장하여 유포되는 악성코드가 발견되었다. 국내 거주하는 사용자들에게는 위험성이 다소 낮지만 유포되는 악성코드가 최근 해외 금융 사 등의 메일로 배포되는 악성코드와 유사한 악성코드로 사용자들의 주의가 요구된다. 본문 내용은 다음과 같다. [그림 1] 과속 범칙금 메일로 위장한 메일 본문 위의 내용을 보면 메일에 첨부된 파일을 실행하도록 유도하는 내용을 확인할 수 있으며, 메일에 첨부된 파일은 아래와 같다. [그림 2] 첨부된 악성코드 해당 파일을 실행하면 아래와 같은 자신의 파일을 복제하여 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 특히, 자신의 파일을 복제할 때는 5자리 임의의 폴더 및 파일 이름으로 복제하며 악성코드 감염 시, 생성되는 배.. 2013. 6. 11.
금융사 정보로 위장한 스팸메일 금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다. [그림 1] 금융사 정보로 위장한 스팸메일 압축 해제된 파일을 실행하면 C:\Documents and Settings\ahnmaru78\Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다. 또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}.. 2013. 6. 10.
Bank of America로 위장한 스팸메일 최근 Bank of America에서 보낸 것으로 위장하여 악성코드를 배포하는 스팸 메일이 발견 되어 사용자들의 주의가 요구된다. 이번에 발견 된 스팸메일은 "You transaction is completed" (당신의 계좌 이체는 성공하였습니다.)라는 제목을 사용하였으며, 본문 내용은 다음과 같다. [그림 1] Bank of America로 위장한 스팸메일 본문 해당 스팸 메일은 "Receipt of payment is attached." (영수증은 첨부해드립니다.)라는 표현을 쓰면서 첨부 된 파일의 실행을 유도한다. 첨부 파일은 zip 파일로 되어 있으며, 내부에는 실행 파일 형태로 악성코드가 존재하기 때문에 주의가 필요하다. 또한 "This is an automatically generated e.. 2013. 6. 4.
UPS 화물 운송장으로 위장한 스팸메일 UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다. [그림 1] 스팸 메일에 첨부 된 html 파일 html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다. [그림 2] 악성코드를 유포하는 웹 사이트 첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안.. 2013. 6. 4.
미국우편공사(USPS)로 위장한 스팸메일 한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다. [메일 본문] Notification Our company's courier couldn't make the delivery of package. REASON: Po.. 2013. 6. 4.