태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.08.25 10:04


페이스북(facebook) 사용자가 발송한 내용처럼 만들어져 있으며, 메시지 내용에는 비아그라나 시알리스 등 성인약품 광고가 포함된 형태가 국내에 유입되었습니다.

기존의 단순 비아그라 SPAM 메일 형식에서 한 단계 발전하여 페이스북 사용자로 하여금 쉽게 열어볼 수 있도록 노린 것으로 보여집니다.

페이스북에서 보낸 메시지라고 해서 무조건 다 열어본다면 불특정 광고나 악성코드에 쉽게 노출되실 수도 있으니, 아래와 같은 내용을 숙지하시고, 조심하시면 좋겠습니다.

사용자 삽입 이미지

본문에 포함되어 있는 다수의 링크는 모두 페이스북 주소와는 무관한 비아그라 판매 사이트로 연결되어 있습니다. 링크를 클릭하면 다음과 같이 악명(?)높은 비아그라 광고 사이트가 열리게 됩니다.

아래 사이트는 다수의 악성코드가 연결을 시도하는 사이트이기도 합니다.

사용자 삽입 이미지

비아그라 등 성인약품을 판매하는 조직적인 광고업자들에 의해서 지속적으로 악성코드, 스팸메일 등이 전파되고 있으므로, 각별히 조심하시면 좋겠습니다.

관련 정보 보기 -> http://viruslab.tistory.com/1901

이러한 사이트에 접속할 경우 새로운 악성코드에 감염되는 경우도 빈번하게 발생하고 있다는 점도 잊어서는 안되니, 호기심에라도 접근하시는 일이 없는 것이 안전하겠습니다.


Posted by viruslab
보안관련소식2010.06.21 07:52


변형 정보 꼭 읽어보기
다양한 형태로 유포됩니다.
viruslab.tistory.com

아마존(amazon.com) 에서 발송한 주문 메일처럼 위장한 잠재적 유해 가능 메일이 국내에 전파되고 있습니다.

기존에 성인용 약품(비아그라 등) 광고를 퍼트리던 악성코드와 연계되어 있을 것으로 추정됩니다.

메일 본문에 포함되어 있는 다수의 링크를 클릭할 경우 광고를 하기 위한 사이트로 연결됩니다.


사용자 삽입 이미지

메일 본문에 포함되어 있는 다수의 가짜 링크를 클릭하면 다음과 같이 성인용품 광고 사이트로 연결됩니다.

사용자 삽입 이미지
 

 

Posted by viruslab
신종악성코드정보2010.06.17 11:20


트위터 암호 초기화 메일로 위장한 형태가 계속해서 변형되어 전 세계적으로 전파되고 있습니다.
사용자 분들은 각별히 주의하셔야 할 것 같습니다. 그리고.. 광고 수익을 위한 본색을 드러내기 시작했습니다.

매일 변종이 보고되고 있으니 아래 내용도 참고하시고요!


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com


발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

기존과 동일한 내용과 첨부파일명이더라도 스크립트 코드가 변형되어 유포되고 있기 때문에 Anti-Virus 에서 모든 첨부파일을 탐지하지 못할 수 있습니다.

조금 전 국내에 추가 유입된 내용이 어떻게 변경되었는지 살펴보았습니다.

제목 :
Reset your Twitter password

내용 :
Hi, (수신자 이메일).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.


The Twitter Team

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.

첨부파일 :
open.htm


보통 예전 변종들은 html 확장자를 썼지만 이번것은 htm 으로 변경되어 있는 것이 조금 다르네요.

첨부되어 있는 open.htm 파일은 기존 Anti-Virus 패턴에서 진단하지 못하도록 또 수정을 하였군요.

사용자 삽입 이미지

open.htm 파일이 실행되면 (생략)vehost.com 이라는 도메인의 zx.htm 파일이 연결됩니다.

사용자 삽입 이미지

이 사이트에는 잠시 열렸다가 다른 사이트로 다시 재연결이 되는데, 악성코드 제작 유포자는 아무래도 중간에 광고수입을 노린 것으로 보입니다.

왜냐하면 zx.htm 링크에 "구글 광고(애드센스)"가 포함되어 있기 때문이죠.

사용자 삽입 이미지

이후에 시계 등을 판매하는 사이트로 연결되어, 해당 사이트를 대신 홍보, 광고해 주고 있습니다.

악성코드 유포자는 광고 노출이나 홍보비 등의 수익을 노리고 있다는 것을 짐작해 볼 수 있는 대목이죠.

사용자 삽입 이미지

이 처럼 악성코드 제작 유포자는 금전적 수익을 얻기 위해서 봇넷을 통해서 광고용 스팸메일을 대신 발송해 주거나 허위 보안 제품(Fake AV) 등을 다량 배포해 주고 있기도 합니다.


그것은 이미 충분히 악성코드에 감염되어 있는 Zombie PC 와 BotNet 을 통한 C&C 기능이라고 보면 되겠지요.

뭐 이제는 잘 아시겠지만 비아그라 성인약품 광고는 아주 기본이겠지요.

결론..

악성코드 제작 목적 = 돈 = 범죄


사용자 삽입 이미지

Posted by viruslab
보안관련소식2010.06.10 09:33


페이스북 내용 위장 악성코드 유포 기법
안젤리나 졸리가 보낸 내용으로 특정 링크 접속 유도
viruslab.tistory.com

요즘 Twitter 나 Facebook 같은 SNS 를 악용한 악성코드 유포, 광고 메일 전파 등이 증가하는 것으로 보여집니다.

대부분 마치 트위터나 페이스북에서 발송한 것처럼 위장하고 있으니, 각별히 조심하시면 좋겠네요.

오늘 발견된 내용을 하나 더 소개해 드립니다.

보낸 사람 :
Facebook <- 허위로 위장하고 있는 것입니다.

제목 :
You have 1 unread message(s)... <- 읽지 않은 메시지가 있다고 속이며, "1" 이라는 숫자는 가변적입니다.

본문 :
Facebook sent you a message. <- 본문에 페이스북 링크처럼 위장된 URL 주소를 통해서 다른 사이트로 연결합니다.

Facebook
Subject: Unread message(s)  

To read this message, follow the link below:
http://www.facebook.com/n/?inbox/readmessage.php&t=1692713530957&mid=2e3802dceaca3791d50c13012872f7


사용자 삽입 이미지

신규 메시지를 볼려면 페이스북 링크를 클릭하도록 유도하며, 실제 해당 사이트는 브라질의 광고 사이트로 1차 링크되어 있고, 다시 캐나다 비아그라 판매 사이트로 연결됩니다.

사용자 삽입 이미지


Posted by viruslab