본문 바로가기

안철수연구소

"Email Policy Violation", "FROM Taylor Wallace" 메일 주의하세요! 아래 제목으로 악성코드를 첨부한 스팸메일이 유포되고 있습니다. 메일 본문은 첨부한 악성코드를 확인하기 위해 첨부한 파일을 다운로드하여 실행하도록 사용자에게 유도하도록 작성되어 있으며 사용자들의 각별한 주의가 필요합니다. Email Policy Violation FROM [영문명 이름] 아래 링크에 포스팅 된 글에 기재된 첨부파일과 똑같은 형식의 파일 아이콘 형식이며 실행 시 FakeAV가 실행되어 허위 진단 후치료를 위해 사용자에게 결제를 유도합니다. http://core.ahnlab.com/203 http://core.ahnlab.com/152 위 링크에 포스팅 된 글에서 언급해 드렸듯이 실행파일이 아닌 것으로 위장하는 파일들은 아래와 같이 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 옵션..
광고를 가장한 악성코드 다운로드하는 HTML 첨부 스팸메일 주의! http://core.ahnlab.com/192 http://core.ahnlab.com/193 http://core.ahnlab.com/196 상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다. 지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다. Delivery Status Notification (Delay) Delivery Status Notification (Failure) 해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다. Forwarded Message.html 첨부된 html 파일을 실행하면 이전과 동일하게 ..
website.zip 악성코드를 유포시키는 스팸메일 주의! 최근 수집된 악성코드 유포 스팸메일 중, 첨부파일이 마치 해외보안업체의 바이러스 검사를 통과한 안전한 파일인 것처럼 위장하여 전송되는 스팸메일이 발견되어 안내드립니다. Re: my website -------------------------------------------------------------------------------------------------- Please read the document. website.zip: No virus found Powered by the new Norton OnlineScan Get protected: www.symantec.com 위 그림처럼 website.zip 이 바이러스테스트를 통과한 것처럼 메일을 뿌려, 사용자가 안심하고 실행할 수 있게끔 유..
Antimalware Doctor (가짜백신) 조치가이드 1. 개 요 현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다. 2. 감염 시 증상 허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다. [그림1. 감염 시 생성되는 창] 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key가 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다. [그림2. Key 활성화 안내창] 트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close를 눌러도 종료되지 않습니다. [그림3. 트레이에 나타나는 아이콘] 3. 조치 방법 현재 V3 제품에서 해당 허위백신을 Win-Tr..
[스팸주의] Your transaction has been processed 오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다. 이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요. 메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요. 제목: Your transaction has been processed 본문: Your transaction has been processed by WorldPay, on behalf of Amazon Inc. The invoice file is attached to this message. This is not a tax receipt. We processed your payment. Amazon Inc has received your or..
You have received an eCard 악성코드 스팸메일 주의! eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^; 이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요! 아래는 메일의 내용입니다. 메일 제목 You have received an eCard 본문 내용 Good day. You have received an eCard To pick up your eCard, click on the following link (or copy & paste it into your web browser): http://micro.[삭제].com/ecard.zip Your card will be aviailable for..
Please attention! - DHL 메일로 위장한 스팸메일 주의! 악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다. 이번 스팸메일에 사용된 제목은 Please attention! 입니다. 아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요! Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly. Please attention! The shipping label is attached to this e-mail. Print this label to get thi..
악성코드에 감염되어 인터넷이 안됩니다. 어떻게 최신엔진으로 업데이트하나요? 악성코드에 감염되어 인터넷이 안되면 참 난감해집니다. 현재 버젼의 V3에서 인터넷을 못하게 하는 악성코드가 제거가 된다면 좋겠지만, 만약 최신엔진에서만 치료되는 변종 악성코드일 경우는 어떻게 해야 될까요? 엔진은 인터넷으로 업데이트 받는데 말이죠. 이제부터 엔진 업데이트가 불가한 상황(인터넷이 안되는 이유 등으로)에서 엔진을 최신버젼으로 업데이트 하는 방법을 소개하겠습니다. 1. 인터넷이 되는 PC에서 www.ahnlab.com 에 접속 2. 홈페이지 상단의 다운로드 –> 제품관련 파일 클릭 3. 윈도우즈용 클라이언트 및 서버 제품군 엔진을 다운받습니다. (우측 디스켓 모양 클릭) 4. 파일을 USB와 같은 이동식디스크에 저장합니다 5. 저장이 완료되면, 인터넷이 되지 않는 PC로 파일을 복사하고 설치합..
컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우! 1. 개 요 최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다. 2. 증 상 컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다. 3. 조치 방법 1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다. 2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다. HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon 3) Winlogon 이하에..
Conficker 조치 가이드 (2) 3. Conficker 조치 방법 -------------------------------------------------------------- A. 수동 조치 방법(진단불가능) * Win32/Conflicker.worm 변형 수동조치 법 [1] GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행합니다. [2] GMER를 실행했을 때 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력됩니다. 붉은색으로 표시된 부분(svchost.exe에 hidden으로 표시)의 Value 항목에 위치한 값을 확인합니다. (여기서는 Remoteserv) [3] 2번 과정에서 이미 붉은색으로 확인된 내용이 ..