전체 글보기1301 광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) http://core.ahnlab.com/192 http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:\windows\PRAGMA[랜덤한 문자]\ 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 h.. 2010. 7. 1. V3 제품 업데이트 시 "업데이트 중 오류가 발생하였습니다. (-1)" 메세지가 나오는 경우 온라인 게임핵 류 악성코드에 감염이 되면 V3 제품이 업데이트가 안되는 증상이 발생하는 경우가 있습니다. 이러한 경우 조치방법을 안내해 드리겠습니다. 우선 아래 아래 안내드리는 전용백신을 다운로드 하여 검사를 해보시기 바랍니다. 전용백신 다운로드 (클릭) 전용백신으로 진단이 되었다면 치료 후 V3제품이 업데이트가 되는지 확인해보신 후 업데이트가 된다면 업데이트 후 시스템 전체에 대해 검사를 진행하시기 바랍니다. 만약 전용백신으로 진단되는 내역이 없다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다. 1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다. Ice Sword 다운로드 (클릭) 2) IceSword.exe를 실행합니다. 3) 왼쪽의 [File]을 클릭합니다. 4) 아래 삭제 할 .. 2010. 6. 30. 광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2) http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 .. 2010. 6. 30. 광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (1) http://core.ahnlab.com/191 http://core.ahnlab.com/189 최근들어 상기 링크에 포스팅된 글들에서 언급해 드렸듯이 악성 html 파일을 첨부했거나 악성 html 링크를 삽입한 스팸메일이 지속적으로 유포되고 있습니다. 현재 글을 포함하여 앞으로 포스팅할 글들에서 해당 html 파일들의 상세한 정보를 알아보고자 합니다. Case 1. 메일 내 링크를 삽입하여 사용자의 클릭 유도 우선, 앞서 언급해 드린 것과 같이 스팸메일 자체 html에 링크를 삽입하여 사용자가 클릭을 하도록 유도합니다. 금일 발견된 악성 스팸메일의 정보는 아래와 같습니다. 메일 본문 곳곳에 악성 html 링크가 삽입되어 있습니다. 메일 제목 : Amazon.com: Get Ready for Cyber .. 2010. 6. 29. 네이트온 쪽지를 통해 전파되는 악성코드 얼마전에 네이트온을 통해 전파되는 악성코드에 대한 주제로 글을 포스팅 한적이 있습니다. 글 포스팅 이후에도 네이트온 악성코드는 여전히 많이 전파되는 상황입니다. http://core.ahnlab.com/154 네이트온을 통해 전파되는 악성코드는 항상 한국시간으로 토, 일요일에 변종이 발생하여 유포되고 있으며 현재 저희 ASEC 대응팀에서는 실시간으로 변종을 확인하여 대응중에 있습니다. 이번주에도 변함없이 새로운 변종이 발견되어 간략한 내용을 정리하여 안내해 드립니다. 1. 악성코드 전파 방법 아래 그림과 같이 쪽지 혹은 대화창을 통해 URL을 알려주며 접속을 유도 하게 됩니다. 접속을 하게 되면 "파일명.rar" 를 다운로드 하게 됩니다. 이 외에도 URL을 알려주지 않고 직접 파일을 전송하는 경우도 존.. 2010. 6. 28. html 파일이 첨부된 스팸메일 주의 최근 계속해서 html 파일을 첨부한 스팸메일이 기승을 부리고 있습니다. 거의 매일 새로운 제목과 함께 변종이 발견되고 있습니다. 지난 포스트 보기 : http://core.ahnlab.com/189 최근에 발견된 메일은 아래와 같이 호기심을 자극할만한 제목으로 클릭을 유도하여 첨부파일을 실행하도록 유도 합니다. My Everything Love, Always And Forever To The One I Love In Your Heart Expressions Of Love hello Heart Is Set On You Shall We Dance? A New Persepctive 첨부되는 파일은 foryou.html 같은 제목의 파일이며 해당 파일명은 언제든지 변경될 수 있습니다. 해당 파일을 열어 보면 .. 2010. 6. 23. vbs 를 이용한 네이트온 악성코드 주의! 오늘 vbs 형태의 네이트온 악성코드가 발견되어 관련 내용을 안내드립니다. vbs 악성코드의 감염경로는, 위 그림과 같이 해킹된 네이트온 ID를 이용해 접속된 사람에게 악성코드 url 을 쪽지로 퍼뜨리는 형태를 띄고 있습니다. url을 통해 받은 압축파일을 해제시 x.vbs 파일이 나오게 되며, 해당 악성코드는 아래와 그림과 같이 난독화되어 분석을 어렵게 합니다. 위 난독화된 코드는 복호화 후 아래의 스크립트 명령어로 변환됩니다. 스크립트 내용으로 보아 ftp 서버를 통해 악성pe파일을 다운받아서 실행한 후, 특정 사이트에 접속한다는 것을 알 수 있습니다. ftp를 통해 다운받는 d.exe 는 wintian.dll 파일을 드롭하여 이 dll은 특정 서비스의 id/pw 를 가로채는 역할을 하게 되니 악성코.. 2010. 6. 21. open.html, news.html, facebook_newpass.html 등의 스크립트 파일을 첨부한 스팸메일 주의! 최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다. 기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다. 최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다. FaceBook message: intense sex therapy Hello Reset your Facebook pa.. 2010. 6. 11. 이전 1 ··· 141 142 143 144 145 146 147 ··· 163 다음
