본문 바로가기

악성코드 정보

UPS #(숫자) 제목의 악성스팸메일 주의하세요! 금일 UPS invoice(송장) 으로 위장한 악성스팸메일이 또 다시 유입되고 있어 사용자의 주의가 필요합니다. 제목: UPS #2485355621 보낸사람: UPS 본문: Hello, We were not able to deliver postal package you sent on the 29nd June in time because the recipient’s address is not correct. Please print out the invoice copy attached and collect the package at our office. Personal manager: Giovanni Smith, 첨부파일: UPS_INVOICE_06.2010.DOC.zip 제목: UPS #6521056755..
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) http://core.ahnlab.com/192 http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:\windows\PRAGMA[랜덤한 문자]\ 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 h..
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2) http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 ..
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (1) http://core.ahnlab.com/191 http://core.ahnlab.com/189 최근들어 상기 링크에 포스팅된 글들에서 언급해 드렸듯이 악성 html 파일을 첨부했거나 악성 html 링크를 삽입한 스팸메일이 지속적으로 유포되고 있습니다. 현재 글을 포함하여 앞으로 포스팅할 글들에서 해당 html 파일들의 상세한 정보를 알아보고자 합니다. Case 1. 메일 내 링크를 삽입하여 사용자의 클릭 유도 우선, 앞서 언급해 드린 것과 같이 스팸메일 자체 html에 링크를 삽입하여 사용자가 클릭을 하도록 유도합니다. 금일 발견된 악성 스팸메일의 정보는 아래와 같습니다. 메일 본문 곳곳에 악성 html 링크가 삽입되어 있습니다. 메일 제목 : Amazon.com: Get Ready for Cyber ..
네이트온 쪽지를 통해 전파되는 악성코드 얼마전에 네이트온을 통해 전파되는 악성코드에 대한 주제로 글을 포스팅 한적이 있습니다. 글 포스팅 이후에도 네이트온 악성코드는 여전히 많이 전파되는 상황입니다. http://core.ahnlab.com/154 네이트온을 통해 전파되는 악성코드는 항상 한국시간으로 토, 일요일에 변종이 발생하여 유포되고 있으며 현재 저희 ASEC 대응팀에서는 실시간으로 변종을 확인하여 대응중에 있습니다. 이번주에도 변함없이 새로운 변종이 발견되어 간략한 내용을 정리하여 안내해 드립니다. 1. 악성코드 전파 방법 아래 그림과 같이 쪽지 혹은 대화창을 통해 URL을 알려주며 접속을 유도 하게 됩니다. 접속을 하게 되면 "파일명.rar" 를 다운로드 하게 됩니다. 이 외에도 URL을 알려주지 않고 직접 파일을 전송하는 경우도 존..
html 파일이 첨부된 스팸메일 주의 최근 계속해서 html 파일을 첨부한 스팸메일이 기승을 부리고 있습니다. 거의 매일 새로운 제목과 함께 변종이 발견되고 있습니다. 지난 포스트 보기 : http://core.ahnlab.com/189 최근에 발견된 메일은 아래와 같이 호기심을 자극할만한 제목으로 클릭을 유도하여 첨부파일을 실행하도록 유도 합니다. My Everything Love, Always And Forever To The One I Love In Your Heart Expressions Of Love hello Heart Is Set On You Shall We Dance? A New Persepctive 첨부되는 파일은 foryou.html 같은 제목의 파일이며 해당 파일명은 언제든지 변경될 수 있습니다. 해당 파일을 열어 보면 ..
vbs 를 이용한 네이트온 악성코드 주의! 오늘 vbs 형태의 네이트온 악성코드가 발견되어 관련 내용을 안내드립니다. vbs 악성코드의 감염경로는, 위 그림과 같이 해킹된 네이트온 ID를 이용해 접속된 사람에게 악성코드 url 을 쪽지로 퍼뜨리는 형태를 띄고 있습니다. url을 통해 받은 압축파일을 해제시 x.vbs 파일이 나오게 되며, 해당 악성코드는 아래와 그림과 같이 난독화되어 분석을 어렵게 합니다. 위 난독화된 코드는 복호화 후 아래의 스크립트 명령어로 변환됩니다. 스크립트 내용으로 보아 ftp 서버를 통해 악성pe파일을 다운받아서 실행한 후, 특정 사이트에 접속한다는 것을 알 수 있습니다. ftp를 통해 다운받는 d.exe 는 wintian.dll 파일을 드롭하여 이 dll은 특정 서비스의 id/pw 를 가로채는 역할을 하게 되니 악성코..
open.html, news.html, facebook_newpass.html 등의 스크립트 파일을 첨부한 스팸메일 주의! 최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다. 기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다. 최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다. FaceBook message: intense sex therapy Hello Reset your Facebook pa..
[악성스팸경보] 악성 PDF 를 전파하는 스팸메일 - "New Resume" 현재 악성 PDF 파일을 첨부한 악성 스팸메일이 급격히 전파되고 있으므로 사용자들의 주의가 필요합니다. 아래의 악성스팸메일의 내용을 확인하시어 같은 내용의 메일이 수신되면 확인 즉시 삭제 바랍니다. New Resume Please review my CV, Thank You! 파일첨부: resume.pdf 위 스팸메일에 사용된 텍스트는 아래 포스트를 통해 소개된 적 있습니다만, 첨부파일이 악성 PDF로 바뀌었습니다. 2010/05/13 - [악성코드 경보/악성 스팸 경보] - "Thank you from Google!", "You Received Online Greeting Card", "New resume." 스팸 주의! 위 악성 PDF는 /openaction 을 이용한 악성코드이며, 파일을 열었을 때 ..
트위터를 가장한 악성 스팸메일 주의! - Twitter 숫자-숫자 최근 트위터를 가장한 악성코드를 다운로드 하는 링크가 첨부된 메일이 확인되어 안내 드립니다. 제목 : Twitter 숫자-숫자 위와 같은 내용의 메일이 오며 위 메일 내용에서 빨간 박스안의 내용은 해당 메일을 받는 사용자의 이메일 계정 주소로 나타날 것입니다. 예를들어 victim@gmail.com 이면 빨간 박스 안의 내용은 gmail.com 이 되는 것입니다. 그리고 위 메일 본문에서 http://twitter.com/account/=im@*사용자 이메일 도메인* 주소의 링크를 클릭하면 보기에는 twitter.com 사이트로 접속하는 것으로 보이지만 실제로는 악성코드를 다운로드 하는 URL로 접속을 하게 됩니다. 해당 링크에서 받은 파일은 ZIP 파일이며 압축을 해제하면 아래와 같은 설치파일의 아이콘..