V371 광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (3) http://core.ahnlab.com/192 http://core.ahnlab.com/193 위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다. 난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다. game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다. c:\windows\PRAGMA[랜덤한 문자]\ 이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 h.. 2010. 7. 1. [악성 스팸경보] "Outlook Setup Notification", "Thank you for setting the order No.[랜덤한 6자리 숫자]" 악성코드를 첨부한 아래 두 악성스팸메일이 유포되고 있는 것이 확인되어 사용자들의 주의가 당부됩니다. Outlook Setup Notification Thank you for setting the order No.[랜덤한 6자리 숫자] 첨부된 두개의 악성파일은 동일한 악성코드를 설치합니다. Protection Center 라는 FakeAV가 설치가 되며 바탕화면에 성인 사이트로 연결되는 링크 파일들을 생성하게 됩니다. 해당 파일들은 현재 V3 제품에서 아래와 같은 진단명으로 진단하고 있습니다. Win-Trojan/Alureon.36352.B 상기와 같은 의심스러운 메일을 수신하였을 경우 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방하시기 바랍니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을.. 2010. 6. 3. website.zip 악성코드를 유포시키는 스팸메일 주의! 최근 수집된 악성코드 유포 스팸메일 중, 첨부파일이 마치 해외보안업체의 바이러스 검사를 통과한 안전한 파일인 것처럼 위장하여 전송되는 스팸메일이 발견되어 안내드립니다. Re: my website -------------------------------------------------------------------------------------------------- Please read the document. website.zip: No virus found Powered by the new Norton OnlineScan Get protected: www.symantec.com 위 그림처럼 website.zip 이 바이러스테스트를 통과한 것처럼 메일을 뿌려, 사용자가 안심하고 실행할 수 있게끔 유.. 2010. 6. 1. Antimalware Doctor (가짜백신) 조치가이드 1. 개 요 현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다. 2. 감염 시 증상 허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다. [그림1. 감염 시 생성되는 창] 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key가 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다. [그림2. Key 활성화 안내창] 트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close를 눌러도 종료되지 않습니다. [그림3. 트레이에 나타나는 아이콘] 3. 조치 방법 현재 V3 제품에서 해당 허위백신을 Win-Tr.. 2010. 5. 10. [스팸주의] Your transaction has been processed 오늘도 어김없이 악성코드를 퍼뜨리는 스팸메일이 등장했습니다. 이번엔 Amazon 관계자로 위장해서 첨부파일이 송장(invoice)파일이라고 속여서 선량한 네티즌들을 유혹하네요. 메일 내용은 아래와 같으니, 꼭 확인해보시고, 같은 내용으로 온 메일은 바로 삭제하세요. 제목: Your transaction has been processed 본문: Your transaction has been processed by WorldPay, on behalf of Amazon Inc. The invoice file is attached to this message. This is not a tax receipt. We processed your payment. Amazon Inc has received your or.. 2010. 5. 9. [악성스팸주의!] Shipping update for your Amazon.com order 254-71546325-658732 아마존 주문의 택배 메일을 가장한 메일이 유포되고 있습니다. 주문 상세정보를 확인하기 위해 첨부된 파일을 확인하라고 메일에 기재되어 있어서 사용자로 하여금 실행을 유도합니다. 실제로 메일에 첨부된 압축 파일을 압축해제해 보니아래와 같이 jpg 파일인 것처럼 사용자를 현혹시키네요 아래 링크의 이전 글에서 알려드린 것처럼 확장자 숨기기 옵션을 해제하면 아래 그림처럼 확장자를 확인할 수 있습니다. 다만 실행파일을 의미하는 .exe 와 사용자를 현혹시키기 위한 .jpg 사이에 많은 공백을 두어 사용자로 하여금 jpg 파일인 것처럼 속이려고 하기 때문에 확장자를 자세히 살펴보시기 바랍니다. 파일 확장자 숨기기 옵션 해제 첨부된 파일이 실행되면 대량의 스팸메일이 발송됩니다. 아래 그림은 네트워크 트래픽을 모니터링 .. 2010. 4. 29. You have received an eCard 악성코드 스팸메일 주의! eCard, christmas card 등등.. 이제 이런 스팸메일들은 제목만 봐도 느낌이 오실거라 생각합니다^^; 이번에 소개드리는 악성코드 유포 스팸메일은 본문에 포함된 링크를 통해 악성코드를 다운받게끔 유도하므로, 메일에 포함된 링크는 절대 클릭하지 마세요! 아래는 메일의 내용입니다. 메일 제목 You have received an eCard 본문 내용 Good day. You have received an eCard To pick up your eCard, click on the following link (or copy & paste it into your web browser): http://micro.[삭제].com/ecard.zip Your card will be aviailable for.. 2010. 4. 24. Please attention! - DHL 메일로 위장한 스팸메일 주의! 악성코드를 퍼뜨리는 스팸메일의 대명사, DHL 이 다시 등장했습니다. 이번 스팸메일에 사용된 제목은 Please attention! 입니다. 아래의 메일 본문을 확인해보시고 비슷한 유형의 메일 첨부파일은 절대로 실행하지 마세요! Dear customer! The courier company was not able to deliver your parcel by your address. Cause: Error in shipping address. You may pickup the parcel at our post office personaly. Please attention! The shipping label is attached to this e-mail. Print this label to get thi.. 2010. 4. 23. 이전 1 2 3 4 5 6 7 8 9 다음
