태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.15 09:59


일본에서 유포된 변종 보기
허위 보안 제품 설치 악성코드 감염 주의
viruslab.tistory.com


사용자 삽입 이미지

"Forwared message" 라는 파일명은 며칠 전 유포되었던 html 첨부파일명과 동일합니다.

html 파일을 첨부한 악성코드 이메을을 유포하고 있는 조직들과 동일한 범죄 조직으로 추정되며, 지속적으로 허위 보안(Fake Anti-Virus) 제품, 비아그라 광고, 특정 사이트 광고 등을 하여 금전적인 이득을 취하는 것으로 추정됩니다.


유포되고 있는 "Forwarded_message.zip" 파일은 다음과 같습니다.

사용자 삽입 이미지

사용자 삽입 이미지

악성코드가 실행되어 감염되면 SecurityTool 이라는 허위 보안 제품이 설치되고, 스스로 검사를 진행 한 후 악성코드 탐지 화면을 보여주면서 소액 과금 결제를 유도하게 됩니다.

이런 가짜(Fake) 백신(Anti-Virus) 제품에 현혹되어 피해를 입지 않도록 각별히 조심하셔야 겠습니다.

nProtect Anti-Virus 제품에서는 해당 악성코드를 탐지하고 치료할 수 있도록 업데이트를 제공할 예정입니다.

http://www.virustotal.com/analisis/81b78a4128b538bdce64d39d41f479c27c56191fb002e93dbcce4a27650c9723-1279112208




Posted by viruslab
신종악성코드정보2010.06.09 09:00


마치 YouTube 서비스 메일 처럼 위장한 유해성 메일이 국내에 유입되었습니다.

해당 메일은 YouTube 에서 발신한 것으로 속이고 있으며, 본문에 포함되어 있는 다수의 URL Link 주소를 통해서 악성코드 유포, 비아그라 광고, 허위 보안제품 유포 등으로 추정되는 또 다른 사이트로 연결을 시도합니다.

이번에 발견된 링크는 기존에 트위터 위장, 안젤리나 졸리 위장 메일, eCard 축하 메일 등이 공통적으로 사용하고 있으며, 이것을 보아서 동일한 악성코드 제작자에 의해서 배포되고 있는 것으로 추정됩니다.

트위터 위장 배포 메일
트위터 메일로 위장하여
악성코드 유포 및 비아그라 광고
viruslab.tistory.com

안젤리나 졸리 페이스북 연결 위장 메일
Angelina Jolie invited you to join
Facebook...
viruslab.tistory.com

eCard 축하 카드 메일로 위장한 악성코드 메일
ecard 축하 카드 메일로 위장
viruslab.tistory.com

제목과 내용 중 일부 문구가 다른 변종 메일도 다수 존재합니다.

The user Annie suggests you to become friends!
The user Jannie suggests you to become friends!
The user Horacio suggests you to become friends!
The user Jeffery suggests you to become friends!
The user Kristie suggests you to become friends!

제목 :
The user Arnold suggests you to become friends!

내용 :
The user Mia suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also simplifies video departure by all or to the selected users. To accept or reject this invitation, pass in INBOX
 
© 2010 YouTube, LLC
901 Cherry Ave, San Bruno, CA 94066 

위험 소지를 최소화하기 위하여 본문에 포함되어 있는 링크 주소는 임의로 제거하였습니다.

사용자 삽입 이미지

1.htm 파일이 존재하는 링크는 분석 시점 당시 정상적으로 연결되지 않았지만, 또 다른 링크로 변경될 가능성이 매우 높습니다.

따라서 이러한 이메일을 받을 경우 링크된 주소를 유심히 살펴보시고, 의심되는 경우 절대로 연결하지 않도록 하시는 것이 잠재적인 보안 위협으로 부터 안전하실 수 있습니다.


Posted by viruslab