본문 바로가기

전체 글보기1301

[악성 스팸메일] Your order has been paid! Parcel NR.4542. 소포 배달을 가장한 스팸메일이 유포되고 있습니다. 해당 스팸메일은 악성 파일을 첨부하고 있으며 메일 제목은 아래와 같은 형태입니다. Your order has been paid! Parcel NR.[랜덤한 숫자]. 아래 그림은 악성 파일을 첨부하여 유포되고 있는 스팸메일 수신시 캡쳐 화면이며 본문에는 Amazon이라는 유명 사이트인 것처럼 사용자를 속여 악성 파일을 다운로드 후 프린트를 할 것을 권하여 사용자가 파일을 실행하도록 유도합니다.. 첨부된 악성 파일이 실행되면 아래 그림과 같이 XP Security Tool 2010 이라는 FakeAV가 실행이 되며 허위진단 후 치료를 위해 제품 구입 결제를 요구하며 결제 페이지로 연결되게 됩니다. 첨부된 악성파일은 아래 그림 Fig 3.과 같이 워드 문서 아.. 2010. 4. 12.
Myspace Password Reset Confirmation! Your Support Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다. 제목 : Myspace Password Reset Confirmation! Your Support Hey , , , , , , , , Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. Thanks, The Myspace Team. 첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진.. 2010. 4. 9.
Rootkit을 찾아서~! - IceSword 편 오늘은 Rootkit의 천적(?)이라 할 수 있는 Icesword에 대한 이야기입니다! 여기서 천적이라고 말한 이유는 북경 과학기술 대학교 pjf에서 Rootkit 제거 목적으로 만들었기 때문입니다. 그럼 Rootkit 전담반 Icesword에 대해 알아볼까요~ ▶ 다운로드 IceSword는 구글링을 통해 쉽게 다운 받을 수 있습니다. 제작자의 공식 블로그로 알려져 있으나 현재는 접속이 안되네요 ^^; (http://www.blogcn.com/user17/pjf/index.htm) ▶ 소개 IceSword는 앞서 말씀드린것과 같이 루트킷 제거를 목적으로 만들어진 tool로서 중국어 버전과 영어 버전이 있으며 이 글에서는 1.22버전(영문)으로 진행하도록 하겠습니다. IceSword는 루트킷 분석에 있어 .. 2010. 4. 8.
*도메인* account notification 도메인 계정과 관련된 메일로 위장한 악성코드가 포함된 스팸메일이 많이 접수되고 있으니 주의하시기 바랍니다. 메일 제목 및 내용은 아래와 같습니다. 제목: *도메인* account notification Dear Customer, This e-mail was send by *도메인* to notify you that we have temporanly prevented access to your account. We have reasons to beleive that your account may have been accessed by someone else. Please run attached file and Follow instructions (C) *도메인* 위 제목 및 메일의 내용에서 *도메인* 으로.. 2010. 4. 5.
sysinternals에서 배포하는 작지만 강한 tool (1) - whois 편 오늘은 sysinternals에서 무료로 배포하는 tool중 whois라는 아주 간단한 프로그램에 대해 알아보겠습니다. whois는 이 전에도 소개해 한적이 있는 Mark Russinovich의 작품입니다.^^ ▶ 다운로드 http://technet.microsoft.com/en-us/sysinternals/bb897435.aspx ▶ 소개 whois라는 이름만으로도 무엇을 하는 녀석인지 예상이 가듯, 이 녀석은 도메인이름 등록인 및 연락처, 국내 IP 주소의 사용기관 및 연결 ISP에 대한 정보 등을 알려주는 Networking Utilities 입니다. whois는 해당 도메인 이름이 이미 다른 사람에 의해 사용중인지, 아니면 자신이 신청할 수 있는지를 확인하는 용도로도 많이 쓰입니다. 만약, 자기가.. 2010. 4. 2.
"DHL..."과 "YOUR TEXT" 악성 스팸메일 경고! 4월 2일자로 발송된 악성 파일을 첨부한 스팸메일이 확인되어 알려드립니다. 3개의 악성스팸메일이 확인되었는데 두 개는 우리의 단골 손님 DHL을 가장한 악성스팸메일입니다. DHL Services. Get your parcel NR.9195 DHL Express. Please get your parcel NR.8524 DHL을 위장한 메일 외 아래와 같은 악성스팸메일이 유포되고 있습니다. YOUR TEXT 악성스팸메일들의 제목 및 본문 등 자세한 내용은 아래 그림들을 참조해 주세요. 첨부된 악성 파일들을 다운로드하여 압축해제하면 오른쪽 그림과 같이 워드 문서 아이콘으로 사용자에게 워드 문서인 것 처럼 보이게 합니다. 각각의 첨부된 파일들은 V3에서 아래와 같은 진단명들로 진단이 가능합니다. 파일명 : DH.. 2010. 4. 2.
Twitter 트위트 메세지를 이용한 악성코드 유포! 많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다. 필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다. 역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다. 잠깐~~ 참고하세요 ! 단축 URL을 사용하게 되는 이유는 Twitter의.. 2010. 3. 31.
Process Explorer를 이용한 악성코드 대응법! 안녕하세요! 오늘 알아 볼 tool은 Process Explorer입니다! ^^ 이 프로그램은 Windows 운영체제에 대해 매우 해박한 지식을 갖고 계시기로 매우 유명한 분이죠? sysinternals(현재는 Microsoft사에 인수됨)의 Mark Russinovich씨가 만든 tool로서 최고의 프로세스 관리 유틸리티라 생각됩니다! (사담이이지만, 저희 ASEC 대응팀원중 한분은 이분을 굉장히 존경하십니다.^^;) 이상 간략한 제작자에 대한 소개는 접고 바로 tool 소개를 하도록 하겠습니다! Process Explorer는 앞서 말씀드린바와 같이 프로세스를 관리할 수 있는 프로그램입니다. 다시 말해, 현재 실행중인 프로세스를 파악하고 해당 프로세스의 우선권을 변경, 정지, 강제 종료 등의 작업을.. 2010. 3. 31.

티스토리툴바