본문 바로가기

V371

인터넷 페이지를 표시할 수 없습니다. :: Internet Security 2010 최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다. 자세한 내용은 "악성 스팸 경고" 카테고리에 관련 글들이 많으니 참조해 주세요. Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다. < Fig 2. Internet Security 2010 > 생성되는 악성파일 중 C:\winodows\system32\helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다. < Fig 2. 인터넷 페이지 오류 > Internet.. 2010. 1. 18.
게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드 이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다. ◆ 증 상 특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다. < 캡쳐된 패킷 > 1. 온라인게임사이트 계정정보 탈취 - 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다. < 게임사이트 목록 > .... .... var b=LOGIN.getCookieValue("CAT");if(b.length>0){var a=b.split("+");if(a.length>1){return a[1];}}return"2"; .... .... < 쿠키값 탈취하는 코드의 일부 > 2. 키보드로깅 - 악성코드는 실행중.. 2010. 1. 14.
"new login system", "Facebook Update Tool" 예전에 페이스북 사이트를 가장한 악성파일을 첨부한 스팸 메일 기억나시나요? 이번 피싱메일도 페이스북 사이트를 가장하는데 이전과 다르게 피싱으로 계정 등과 같은 개인 정보를 수집하는 목적으로 유포되고 있습니다. 흡사 페이스북 사이트와 유사하여 쉽게 피싱을 당할 수 있으니 PC 사용자들의 주의가 당부됩니다. 현재 유포되고 있는 악성 피싱 메일의 제목은 아래와 같습니다. new login system Facebook Update Tool 제목은 상이하지만 메일 본문은 아래와 같이 동일한 내용입니다. facebookDear Facebook user, In an effort to make your online experience safer and more enjoyable, Facebook will be impl.. 2009. 12. 26.
Facebook Password Reset Confirmation. Important Message 또 다시 페이스북의 메일을 위장한 악성 스팸메일이 유포되고 있습니다. 비밀번호를 재설정하라는 제목으로 "Facebook Password Reset Confirmation. Important Message" 유포되고 있으며 악성 첨부파일을 다운로드하여 실행하도록 지시하고 있습니다. 아래는 악성 스팸 메일 본문 내용입니다. Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document. V3에서는 첨부된 악성파일을 아래의 진단명으로 진단하고 있습니다. Facebook_Password_[랜덤한 숫자].exe -.. 2009. 12. 16.
State Vaccination Program "State Vaccination Program" 이란 제목의 악성 링크를 삽입한 스팸메일이 유포 중입니다. 스팸메일의 본문은 아래와 같으며 빨간색 박스로 표시한 부분에 악성링크가 삽입되어 있습니다. 위 그림에서 빨간색 박스 내 링크를 클릭하게 되면 아래의 페이지로 이동하게 됩니다. 아래 페이지에서 특정 파일을 다운로드하도록 지시합니다. 다운로드 된 파일은 V3에서 아래와 같이 기진단되고 있습니다. vacc_profile.exe - Win-Trojan/ZBot.130560.C(V3) 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안.. 2009. 12. 2.
컴퓨터 부팅 시 특정 사이트로 자동 연결 되는 경우! 1. 개 요 최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다. 2. 증 상 컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다. 3. 조치 방법 1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다. 2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다. HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon 3) Winlogon 이하에.. 2009. 11. 20.
[악성 스팸메일 주의!] "Your credit balance is over its limit" "Your credit balance is over its limit" 제목의 악성파일을 첨부한 스팸메일이 유포 중입니다. 해당 스팸 메일의 본문은 아래와 같습니다. Dear Verizon Wireless customer, Your credit balance is over its limit. Please use the attached Verizon Wireless Balance Checker Tool to review and analyze your payments. Yours sincerely, Verizon Wireless Customer Services 해당 스팸메일에 첨부된 악성파일은 아래와 같으며 V3에서 기진단되고 있습니다. balancechecker.exe - Win-Trojan/Zbot.25.. 2009. 11. 18.
[악성 스팸메일 주의!] "Conflicker.B Infection Alert" 콘피커 웜이 퍼지고 있으며 첨부된 파일로 스캔을 권유하는 악성 스팸메일이 유포되고 있습니다. 해당 스팸메일의 본문은 아래와 같습니다. Dear Microsoft Customer, Starting 12/11/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected. To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effec.. 2009. 11. 14.