이력서 메일 내용처럼 교묘하게 위장한 악성코드 이메일이 국내에 유입된 것이 확인되었습니다.
아래 내용 참고하시어 유사 악성파일 유포 메일에 속지 않도록 조심하시면 좋겠습니다.
한글 내용은 번역기 등을 사용한 것으로 보여지며, 대부분 문법에 맞지 않습니다.
"이력서.zip" 파일 내부에는 "SeriyLee Resume.chm" 라는 컴파일된 HTML Help 파일이 포함되어 있고, chm 내부에 svchost.exe 라는 악성파일이 추가로 실행되도록 제작되어 있습니다.
SeriyLee Resume.chm 내부에는 가짜 이력서 내용 launch.htm 파일과 mypic.jpg 라는 사진 파일 등이 포함되어 있으며, 몰래 실행되는 svchost.exe 라는 악성파일이 포함되어 있습니다.
chm 파일이 실행되면 다음과 같이 실제 이력서와 같은 화면을 보여주어 사용자가 정상적인 파일로 인식하도록 만듭니다.
중국에서 제작된 것으로 추정되며, 사진속 인물은 중국쪽 연예인 사진인 듯 싶습니다.
이력서에 포함된 사진 화면인데, 해외 모델이나 연예인 사진을 도용한 것으로 보여집니다. 혹시 정확하게 아시는 분 있으면 좀 알려주세요.^^
메일이 발송된 곳은 중국 베이징으로 추적되었습니다.
악성파일에 감염이 되면 실행되어 있는 일부 정상 파일이 백업되고, 감염된 파일로 교체되는 현상이 발생됩니다.
nProtect Anti-Virus 제품에서는 감염된 파일의 치료 기능을 제공할 예정 중입니다.
http://www.virustotal.com/file-scan/report.html?id=5bec540896902e643a4563b17b312a9ba8f6291b7e659f1122692ec9048ce39a-1284001638
아래 내용 참고하시어 유사 악성파일 유포 메일에 속지 않도록 조심하시면 좋겠습니다.
제목 :
이력서 도서
내용 :
안녕하세요 :
이력서 도서
내용 :
안녕하세요 :
난 졸업생은 홍콩 대학에서 오전.난 일본에서 1 년 이상 해외 유학했다.주로 온라인 게임 개발 및 운영 기술 인력의.
인터넷에서 직원의 채용에 임금을 볼 수있습니다.난 물어 자유 걸릴하고 싶습니다.내 개인 정보를 첨부합니다.
당신보다 더 잘 쓰지.감사합니다.
첨부파일 :
이력서.zip
한글 내용은 번역기 등을 사용한 것으로 보여지며, 대부분 문법에 맞지 않습니다.
"이력서.zip" 파일 내부에는 "SeriyLee Resume.chm" 라는 컴파일된 HTML Help 파일이 포함되어 있고, chm 내부에 svchost.exe 라는 악성파일이 추가로 실행되도록 제작되어 있습니다.
SeriyLee Resume.chm 내부에는 가짜 이력서 내용 launch.htm 파일과 mypic.jpg 라는 사진 파일 등이 포함되어 있으며, 몰래 실행되는 svchost.exe 라는 악성파일이 포함되어 있습니다.
chm 파일이 실행되면 다음과 같이 실제 이력서와 같은 화면을 보여주어 사용자가 정상적인 파일로 인식하도록 만듭니다.
중국에서 제작된 것으로 추정되며, 사진속 인물은 중국쪽 연예인 사진인 듯 싶습니다.
이력서에 포함된 사진 화면인데, 해외 모델이나 연예인 사진을 도용한 것으로 보여집니다. 혹시 정확하게 아시는 분 있으면 좀 알려주세요.^^
메일이 발송된 곳은 중국 베이징으로 추적되었습니다.
악성파일에 감염이 되면 실행되어 있는 일부 정상 파일이 백업되고, 감염된 파일로 교체되는 현상이 발생됩니다.
nProtect Anti-Virus 제품에서는 감염된 파일의 치료 기능을 제공할 예정 중입니다.
http://www.virustotal.com/file-scan/report.html?id=5bec540896902e643a4563b17b312a9ba8f6291b7e659f1122692ec9048ce39a-1284001638
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.09.09.00 | 2010.09.09 | Backdoor/Win32.Banito |
| AntiVir | 8.2.4.50 | 2010.09.08 | TR/Crypt.XPACK.Gen3 |
| Antiy-AVL | 2.0.3.7 | 2010.09.09 | - |
| Authentium | 5.2.0.5 | 2010.09.08 | - |
| Avast | 4.8.1351.0 | 2010.09.08 | Win32:Malware-gen |
| Avast5 | 5.0.594.0 | 2010.09.08 | Win32:Malware-gen |
| AVG | 9.0.0.851 | 2010.09.08 | Downloader.Generic10.QMB |
| BitDefender | 7.2 | 2010.09.09 | Trojan.Generic.4715438 |
| CAT-QuickHeal | 11.00 | 2010.09.08 | TrojanDownloader.Unruy.i |
| ClamAV | 0.96.2.0-git | 2010.09.09 | - |
| Comodo | 6018 | 2010.09.09 | - |
| DrWeb | 5.0.2.03300 | 2010.09.09 | - |
| Emsisoft | 5.0.0.37 | 2010.09.09 | Trojan-Downloader.Win32.Unruy!IK |
| eSafe | 7.0.17.0 | 2010.09.07 | - |
| eTrust-Vet | 36.1.7843 | 2010.09.08 | - |
| F-Prot | 4.6.1.107 | 2010.09.01 | - |
| F-Secure | 9.0.15370.0 | 2010.09.09 | Trojan-Downloader:W32/FakeAlert.NV |
| Fortinet | 4.1.143.0 | 2010.09.08 | - |
| GData | 21 | 2010.09.09 | Trojan.Generic.4715438 |
| Ikarus | T3.1.1.88.0 | 2010.09.09 | Trojan-Downloader.Win32.Unruy |
| Jiangmin | 13.0.900 | 2010.09.08 | Backdoor/Banito.pd |
| K7AntiVirus | 9.63.2470 | 2010.09.08 | - |
| Kaspersky | 7.0.0.125 | 2010.09.09 | Backdoor.Win32.Banito.anw |
| McAfee | 5.400.0.1158 | 2010.09.09 | Artemis!5ED7F5FFD25D |
| McAfee-GW-Edition | 2010.1B | 2010.09.09 | Artemis!5ED7F5FFD25D |
| Microsoft | 1.6103 | 2010.09.09 | TrojanDownloader:Win32/Unruy.I |
| NOD32 | 5435 | 2010.09.08 | - |
| Norman | 6.06.05 | 2010.09.08 | - |
| nProtect | 2010-09-09.01 | 2010.09.09 | Backdoor/W32.Banito.167936.C |
| Panda | 10.0.2.7 | 2010.09.08 | Trj/CI.A |
| PCTools | 7.0.3.5 | 2010.09.09 | - |
| Prevx | 3.0 | 2010.09.09 | Medium Risk Malware |
| Rising | 22.64.02.04 | 2010.09.08 | Trojan.Win32.Generic.522F3C2E |
| Sophos | 4.57.0 | 2010.09.09 | - |
| Sunbelt | 6849 | 2010.09.09 | Trojan.Win32.Generic!BT |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.09.09 | - |
| Symantec | 20101.1.1.7 | 2010.09.09 | - |
| TheHacker | 6.7.0.0.012 | 2010.09.09 | Backdoor/Banito.anw |
| TrendMicro | 9.120.0.1004 | 2010.09.08 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.09.09 | - |
| VBA32 | 3.12.14.0 | 2010.09.08 | - |
| ViRobot | 2010.9.8.4031 | 2010.09.09 | - |
| VirusBuster | 12.64.24.0 | 2010.09.08 | - |
