본문 바로가기

악성코드 정보1047

단축 URL을 악용한 악성 스팸 메일 유포 2010년 6월 1일 오후부터 국내에서 유명한 미국 신용카드 업체인 아메리칸 익스프레스(American Express) 업체로 위장한 악의적인 메일이 유포된 사실이 발견되었다. 이번에 발견된 아메리칸 익스프레스로 위장한 악의적인 메일은 아래 이미지와 같은 형태로 제작되었으며 유포된 메일 제목으로는 "official information" 또는 "American Express Online Form" 가 사용되었다. 메일 본문에는 아메리칸 익스프레스 온라인 폼이 개설되었으니 아래 웹 사이트로 접속해보라는 권유를 하고 있다. 위와 같은 메일 형태와 같이 메일 본문에 특정 웹 사이트로 연결하는 링크를 추가하여 웹 브라우저(Web Browser)의 취약점을 악용하여 악성코드를 유포하거나 특정 웹 사이트로 연결하여.. 2011. 10. 27.
다시 돌아온 UPS 운송 메일로 위장한 악성코드 2009년 8월을 마지막으로 국내에서 발견되지 않았던 UPS 운송 메일로 위장한 악성코드가 국내외에서 다시 발견되기 시작하였다. 금일 발견된 UPS 운송 메일로 위장한 악성코드는 아래 이미지와 같이 "UPS INVOICE NR." 라는 제목으로 유포되었으며 메일 본문에는 2010년 3월 8일 배송 중이던 소포가 주소 착오로 인해 잘 못되었으니 첨부된 신청서를 프린터해서 주소 정정 신청을 해달라는 요청을 하고 있다. 첨부 파일로는 invoice.zip (56,886 바이트) 파일이 첨부되어 있으며 해당 압축 파일의 압축을 풀면 UPSInvoice.exe (64,000 바이트)가 생성된다. 해당 파일이 실행되면 사용자 계정명의 임시(Temp) 폴더에 5.tmp (20,992 바이트)의 파일을 생성 한 후 윈.. 2011. 10. 27.
호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포 해외 외신인 CNET은 2010년 5월 21일 호주 보안 대응 조직인 AusCERT 주관의 보안 컨퍼런스 장소에서 IBM이 보안 컨퍼런스 참관자들에게 나누어준 USB 저장 장치에 악성코드가 감염된 것으로 "IBM: We distributed malware-ridden USB drives" 기사를 통해 보도 했다. 이번에 배포된 USB 저장 장치에서 발견된 악성코드는 Setup.exe (278,528 바이트)로 존재하였으며 해당 악성코드는 최근에 발견된 것은 아니며 2008년 12월 경에 최초 발견되었다. 이번 USB 저장 장치에서 발견된 해당 악성코드에 감염 되면 윈도우 폴더(C:\WINDOWS)에 자신의 복사본을 mem32.exe (278,528 바이트)로 생성한다. 그리고 중국 포털 사이트인 SOHU.. 2011. 10. 27.
팩맨 게임 탄생 30주년을 악용해 유포된 허위 백신 2010년 5월 22일은 유명한 게임인 팩맨(Pac Man)이 탄생한지 30주년이 되는 날이었다. 팩맨 게임의 탄생 30주년을 기념하기 위해 유명한 온라인 검색 웹 사이트인 구글(Google)에서는 해당 탄생 30주년일에 맞추어 아래 아미지와 같은 게임을 구글 웹 사이트 메인 페이지에 게시하였다. 이렇게 탄생 30주년을 맞이한 팩맨 게임의 기념일을 이용하여 검색 웹 사이트인 구글의 검색 결과를 이용해 허위 백신이 유포된 사례가 발견되었다. 이번 팩맨 게임 탄생 30주년을 이용해 구글 검색 웹 사이트를 통해 유포된 허위 백신은 2009년 이전 부터 해외에서 악성코드 유포에 많이 악용되었던 BlackHat SEO(Search Engine Optimization)이라는 기법으로 최근에는 2010년 3월 2일 .. 2011. 10. 27.
트위터를 이용한 악의적인 봇넷 구성과 조정 2010년 5월 13일 미국 보안 업체 썬벨트(Sunbelt)에서 해당 업체 블로그 "The DIY Twitter Botnet Creator"를 통해 유명 SNS(Social Network Service)인 트위터(Twitter)를 이용하여 봇넷(BotNet)을 구성하고 악의적인 명령을 수행 할 수 있는 트위터 봇넷 생성기가 발견된 것이 알려졌다. 트위터를 이용한 악의적인 봇넷 구성과 조정은 이 번에 발견된 것이 처음은 아니며 2009년 8월 베이스64(Base64)으로 인코딩한 트위터 메시지를 통해 봇넷을 조정한 사례가 발견되었으며 이와 유사하게 2009년 9월 구글(Google) 그룹스(Groups) 서비스를 이용한 봇넷 조정 사례도 발견되었다. 이번에 알려진 트위터 봇넷 생성기는 최초 썬벨트에서는 .. 2011. 10. 27.
입사 이력서 메일로 위장한 Bredolab 변형 유포 2009년 중순 부터 국내에서도 지속적으로 발견되고 있고 2010년 5월 7일에는 애플 아이튠즈 상품권 메일로 위장하여 유포되었던 Bredolab 변형이 2010년 5월 11일 야간부터 이력서 관련 메일로 위장하여 국내에서도 유포되기 시작하였다. 이력서나 입사 지원과 관련한 메일로 위장하여 악성코드가 유포된 사례는 이 번이 처음은 아니며 2010년 2월 2일 경 구글(Google) 입사 지원 메일로 위장하여 유포된 Prolaco 웜이 존재한다. 현재까지 다양한 변형들이 제작되어 유포되고 있으며 이번 이력서 관련 메일로 위장하여 유포된 Bredolab 변형은 아래 이미지와 같이 "New resume." 라는 메일 제목을 사용하고 있다. 그리고 메일 본문에는 간단하게 이력서를 읽어달라는 짧은 문구가 한 줄 .. 2011. 10. 27.
해외에서 발견된 야후 메신저로 전파되는 악성코드 해외에서 2010년 5월 2일부터 야후(Yahoo) 메신저(Messenger) 프로그램을 통해 전파되는 악성코드들이 다수 발견되고 있는 것으로 시만텍(Symantec)에서 블로그 "New Yahoo! Messenger worm"를 통해 밝히고 있다. 유명 메신저 프로그램들을 통해 전파되는 메신저 관련 악성코드는 과거에도 다수가 존재하고 있지만 최근에는 자주 발견되지 않았으나 최근부터 다시 다수의 변형들이 발견되고 있음으로 많은 주의가 필요하다. 이번에 발견된 야후 메신저 프로그램을 통해 전파되는 악성코드는 감염된 시스템에서 야후 메신저 프로그램을 사용하고 있다면 아래 이미지와 같은 형태로 특정 웹 사이트로 연결하는 링크를 친구 리스트에 등록되어 있는 모든 사람들에 전달하여 감염을 시도하는 특징이 있다. .. 2011. 10. 27.
보안 경고 관련 메일의 워드 문서로 포함된 악성코드 2010년 5월 9일 새벽을 즈음하여 해외 보안 업체인 시만텍(Symantec)에서 보내는 것으로 위장한 보안 위협 경보와 관련한 메일에 첨부된 마이크로소프트(Microsoft)의 워드(Word) 문서에 악성코드가 패키지 개체로 포함되어 유포된 사실이 발견되었다. 이번 보안 위협 경보 관련 메일의 첨부 파일로 존재하는 워드 문서에 포함된 악성코드는 아래와 같은 메일 형태의 전자 메일의 첨부 파일로 유포되었다. 해당 메일의 제목은 아래 알려진 제목 중 하나를 사용하며 메일 제목과 다르게 메일 본문에는 제품 사용과 관련한 저작권 위반이 적발 되었으며 2010년 5월 10일까지 회신을 주지 않을 경우 법적인 대응을 하겠다는 내용을 포함하고 있다. 그리고 첨부된 워드 파일을 참고하는 내용으로 해당 워드 파일을 .. 2011. 10. 27.