본문 바로가기

악성코드 정보1047

SNS인 마이스페이스를 사칭한 허위 백신 2010년 8월 17일 ASEC에서는 해외의 유명한 소셜 네트워크 서비스(Social Network Service)인 린크드인(LinkedIn)의 친구 초대 메일로 위장한 악의적인 스팸(Spam) 메일이 유포되었음을 전한 바가 있었다. 2010년 8월 19일 야간에는 해외의 또 다른 유명 소셜 네트워크 서비스인 마이스페이스(MySpace)의 사용자 계정 관련 메일로 위장한 악의적인 스팸 메일이 유포되었다. 이번에 발견된 마이스페이스 관련 메일로 위장한 사례는 2009년 10월 Zbot 변형이 마이스페이스에서 발송하는 메일로 위장한 사례가 있었다. 당시에 발견된 악의적인 스팸 메일은 텍스트 형식의 메일로 되어 있었으나 이 번에는 아래 이미지와 같으 HTML 형식으로 되어 실제 마이스페이스에서 발송하는 메일.. 2011. 10. 27.
허위 백신, HTML 파일이 첨부된 스팸 메일로 유포 2010년 6월 들어서 부터 국내에서 발견되기 시작한 HTML 파일이 첨부된 악의적인 스팸(Spam) 메일들이 최근 들어 다시 국내에서 발견되기 시작하였다. HTML 파일이 첨부된 악의적인 스팸 메일들은 2010년 6월부터 유명 SNS(Social Network Service) 웹 사이트인 페이스북(Facebook)에서 발송하는 메일로 위장하여 성인 약품 광고 웹 사이트로 접속을 유도하는 사례등이 존재하고있다. 이번에 발견된 HTML 파일이 첨부된 악의적인 스팸 메일들은 다음 이미지와 같은 다양한 형식들이 발견되었으며, 기존에는 성인 약품 광고를 위한 웹 사이트로 연결을 시도하거나 다른 악성코드 감염을 시도하였으나 이번에는 허위 백신을 설치하는 웹 사이트로 연결을 시도하는 점을 특이 사항으로 볼 수 있다.. 2011. 10. 27.
입사 이력서 메일로 위장한 Zbot 변형 유포 2009년도부터 국내로 꾸준히 유입되어 오던 Zbot 변형들이 2010년 8월 17일 야간에는 입사 이력서 메일로 위장하여 유포된 것이 다시 발견되었다. 그리고 그 외에 다수의 다른 악성코드들 역시 메일로 유포된 것을 확인 하였다. 입사 이력서 메일로 위장하여 악성코드가 유포된 사례는 이번이 처음이 아니며 2010년 5월에는 Bredolab 변형이 2010년 6월에는 취약한 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF 파일이 유포된 사례가 있다. 이번에 유포된 Zbot 변형은 아래 이미지와 같은 메일 형식을 가지고 있으며 메일 제목으로 "tech resume"를 가지고 있다. 메일 본문에는 간단하게 이력서를 보라는 내용을 가지고 있으며 첨부 파일로는 resume.zip (1.. 2011. 10. 27.
SNS 서비스인 린크드으로 위장한 스팸 메일 2010년 8월 16일 야간 트위터(Twitter) 및 페이스북(Facebook)과 함께 해외에서 유명한 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 린크드인(LinkedIn)에서 친구 초대 메일로 위장한 스팸(Spam) 메일이 국내에서 발견되었다. 린크드인 서비스로 위장한 스팸 메일은 아래 이미지와 같은 메일 본문을 가지고 있으며 메일 제목으로는 "Join my network on LinkedIn" 으로 일반적으로 린크드인에서 친구 초대 메일이 발송 될 때 사용하는 제목과 동일하다. 그리고 해당 메일 본문에서 제공되는 모든 웹 사이트 연결을 위한 링크들은 정상적인 린크드인 웹 사이트로 연결되지 않고 다른 웹 사이트 주소로 연결되도록 되어 있으나 테스트 당시에는 정상적으로.. 2011. 10. 27.
아마존 쇼핑몰 주문 메일로 위장한 스팸 메일 2010년 8월 17일 ASEC에서는 아마존(Amazon) 쇼핑몰에서 보내는 주문 메일로 위장하여 성인 약품 광고를 목적으로 하는 스팸(Spam) 메일이 국내에서 발견되었다. 해당 스팸 메일은 아래 이미지와 같이 "Your Order with Amazon.com" 이라는 메일 제목을 가지고 있으며 메일 본문에는 아마존 쇼핑몰에서 도서나 물건을 구매시에 아마존 쇼핑몰에서 확인 차 보내는 주문 안내 메일과 동일한 형태를 가지고 있다. 그리고 해당 메일 본문에서 제공되는 모든 웹 사이트 연결을 위한 링크들은 정상적인 아마존 쇼핑몰 웹 사이트로 연결되지 않고 다른 웹 사이트 주소로 연결되도록 되어 있으나 테스트 당시에는 정상적으로 접속이 되지 않고 있었다. 이렇게 아마존 쇼핑몰 관련 메일로 위장하여 유포된 스팸.. 2011. 10. 27.
허위 어도비 플래쉬 플레이어 업데이트로 위장한 악성코드 2010년 8월 11일 오전 해외에서 허위로 만들어진 어도비(Adobe) 플래쉬 플레이어(Flash Player) 업데이트 웹 사이트를 통해 악성코드를 유포하고 있는 것이 발견되었다. 이번에 발견된 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 어제 어도비사에 취약점 제거를 위해 보안 패치를 배포한 것과 유사한 시기에 발견된 형태라 주의가 필요하다. 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 아래 이미지와 같이 실제 어도비에서 운영하는 업데이트 웹 사이트와 유사하게 제작되어 있어 일반 사용자의 입장에서는 허위 사실 여부를 파악하기 어렵다는 점을 특이 사항으로 볼 수 있다. 해당 허위 웹 사이트에서는 위 이미지의 붉은 색 박스에서를 클릭하게 되면 아래 이미지와 같이 install_flash_pl.. 2011. 10. 27.
캐스퍼스키의 전자 서명을 도용한 악성코드 최근 해외 보안 업체와 일부 해외 언론을 통해 일반적으로 해당 기업에서 제작하여 배포하는 파일이며 신뢰할 수 있는 파일이라는 의미에서 사용하는 전자 서명(Digital Signature)을 위조하여 사용하는 악성코드들이 발견되었다. 이번과 같이 특정 기업의 전자 서명을 위조한 사례로는 2010년 7월 초 한국에서도 발견되었던 국내 특정 포털에서 배포하는 파일로 위장하기 위해 해당 기업의 전자 서명을 위조하여 배포한 사례가 있다. 그러나 이번에 발견된 악성코드에서 위조한 전자 서명은 과거의 일반 기업의 전자 서명을 위조한 사례와 달리 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서 배포한 신뢰할 수 있는 파일로 위장하였다는 점을 특이 사례로 볼 수 있다. 이번과 같이 특정 악성코드에서 위조한 캐스퍼스.. 2011. 10. 27.
국산 프리웨어로 위장한 트위터 관련 악성코드 2010년 7월 30일 오전 ASEC에서는 국내에서 제작된 프리웨어 프로그램을 이용하여 악성코드 감염을 시도하는 사례가 발견되었다. 이번 국내에서 제작된 프리웨어 프로그램에서 발견된 악성코드 감염 사례는 2010년 5월 해외에서 발견되었던 소셜 네트워크 서비스(SNS, Social Network Service)를 이용해 악성코드에 감염된 시스템들을 조정하는 사례와 유사한 형태를 보이고 있다. 2010년 7월 30일 발견된 국내에서 제작된 프리웨어 프로그램은 아래 이미지와 같이 모기퇴치 프로그램이라고 명시하고 있으나 실제 해당 프로그램이 실행되면 윈도우 시스템 폴더(C:\windows\system32)에 ckass.dll (101,376 바이트)라는 DLL 파일을 생성한다. 생성된 DLL 파일은 아래 .. 2011. 10. 27.