태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.08.25 10:04


페이스북(facebook) 사용자가 발송한 내용처럼 만들어져 있으며, 메시지 내용에는 비아그라나 시알리스 등 성인약품 광고가 포함된 형태가 국내에 유입되었습니다.

기존의 단순 비아그라 SPAM 메일 형식에서 한 단계 발전하여 페이스북 사용자로 하여금 쉽게 열어볼 수 있도록 노린 것으로 보여집니다.

페이스북에서 보낸 메시지라고 해서 무조건 다 열어본다면 불특정 광고나 악성코드에 쉽게 노출되실 수도 있으니, 아래와 같은 내용을 숙지하시고, 조심하시면 좋겠습니다.

사용자 삽입 이미지

본문에 포함되어 있는 다수의 링크는 모두 페이스북 주소와는 무관한 비아그라 판매 사이트로 연결되어 있습니다. 링크를 클릭하면 다음과 같이 악명(?)높은 비아그라 광고 사이트가 열리게 됩니다.

아래 사이트는 다수의 악성코드가 연결을 시도하는 사이트이기도 합니다.

사용자 삽입 이미지

비아그라 등 성인약품을 판매하는 조직적인 광고업자들에 의해서 지속적으로 악성코드, 스팸메일 등이 전파되고 있으므로, 각별히 조심하시면 좋겠습니다.

관련 정보 보기 -> http://viruslab.tistory.com/1901

이러한 사이트에 접속할 경우 새로운 악성코드에 감염되는 경우도 빈번하게 발생하고 있다는 점도 잊어서는 안되니, 호기심에라도 접근하시는 일이 없는 것이 안전하겠습니다.


Posted by viruslab
신종악성코드정보2010.06.22 09:13


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

doc.html, login.html, message.html 등의 파일명으로 변경된 것이 목격되고 있습니다.

제목 :
Hope You Got My mail?

내용 :
I have a mutual beneficial business suggestion for you.

View the attached file for more details and get back to me immediately.

Best Regards

Lyman Carrillo

첨부파일 :
doc.html

사용자 삽입 이미지

제목 :
Thank you for becoming a member on our site

내용 :
Thank you for becoming a member on our site

You have entered your email address and screen name:

Email: (수신자 메일).co.kr
Screen name: repairs08

Please login with the password you created.

In order to complete the free membership process, you must click on the attached link to activate your account:

You will have 30 days to confirm your registration or you will need to re-register on the site.

첨부파일 :
login.html


사용자 삽입 이미지

제목 :
Non-delivery notice

내용 :
Note: Forwarded message is attached.

The message was not delivered.  The following error message was generated by the server:

    550 5.1.1 User unknown

The original message is attached.

첨부파일 :
message.html

사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.21 12:54


아마존 위장 메일 꼭 읽어보기
아마존 사이트 주문 메일로 위장한 형태
viruslab.tistory.com

아마존 사이트의 주문 메일로 위장하여 비아그라 성인 약품 사이트를 광고하던 메일이 이번에는 Flixster(http://www.flixster.com/) 사이트에서 발송한 것처럼 위장하고 있습니다.

이번 메일에서는 영화(배우)와 관련된 내용으로 클릭을 유도하고 있습니다.

이러한 광고(Spam) 메일은 기존에 악성코드에 감염되어 있는 컴퓨터(Zombie PC/Bot Net) 등을 통해서 지속적으로 전파되고 있습니다.

사용자 삽입 이미지

본문에 포함되어 있는 다수의 링크들은 성인 약품(비아그라 등)를 광고하는 사이트로 연결됩니다.

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.06.21 07:52


변형 정보 꼭 읽어보기
다양한 형태로 유포됩니다.
viruslab.tistory.com

아마존(amazon.com) 에서 발송한 주문 메일처럼 위장한 잠재적 유해 가능 메일이 국내에 전파되고 있습니다.

기존에 성인용 약품(비아그라 등) 광고를 퍼트리던 악성코드와 연계되어 있을 것으로 추정됩니다.

메일 본문에 포함되어 있는 다수의 링크를 클릭할 경우 광고를 하기 위한 사이트로 연결됩니다.


사용자 삽입 이미지

메일 본문에 포함되어 있는 다수의 가짜 링크를 클릭하면 다음과 같이 성인용품 광고 사이트로 연결됩니다.

사용자 삽입 이미지
 

 

Posted by viruslab
신종악성코드정보2010.06.17 11:20


트위터 암호 초기화 메일로 위장한 형태가 계속해서 변형되어 전 세계적으로 전파되고 있습니다.
사용자 분들은 각별히 주의하셔야 할 것 같습니다. 그리고.. 광고 수익을 위한 본색을 드러내기 시작했습니다.

매일 변종이 보고되고 있으니 아래 내용도 참고하시고요!


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com


발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

기존과 동일한 내용과 첨부파일명이더라도 스크립트 코드가 변형되어 유포되고 있기 때문에 Anti-Virus 에서 모든 첨부파일을 탐지하지 못할 수 있습니다.

조금 전 국내에 추가 유입된 내용이 어떻게 변경되었는지 살펴보았습니다.

제목 :
Reset your Twitter password

내용 :
Hi, (수신자 이메일).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.


The Twitter Team

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.

첨부파일 :
open.htm


보통 예전 변종들은 html 확장자를 썼지만 이번것은 htm 으로 변경되어 있는 것이 조금 다르네요.

첨부되어 있는 open.htm 파일은 기존 Anti-Virus 패턴에서 진단하지 못하도록 또 수정을 하였군요.

사용자 삽입 이미지

open.htm 파일이 실행되면 (생략)vehost.com 이라는 도메인의 zx.htm 파일이 연결됩니다.

사용자 삽입 이미지

이 사이트에는 잠시 열렸다가 다른 사이트로 다시 재연결이 되는데, 악성코드 제작 유포자는 아무래도 중간에 광고수입을 노린 것으로 보입니다.

왜냐하면 zx.htm 링크에 "구글 광고(애드센스)"가 포함되어 있기 때문이죠.

사용자 삽입 이미지

이후에 시계 등을 판매하는 사이트로 연결되어, 해당 사이트를 대신 홍보, 광고해 주고 있습니다.

악성코드 유포자는 광고 노출이나 홍보비 등의 수익을 노리고 있다는 것을 짐작해 볼 수 있는 대목이죠.

사용자 삽입 이미지

이 처럼 악성코드 제작 유포자는 금전적 수익을 얻기 위해서 봇넷을 통해서 광고용 스팸메일을 대신 발송해 주거나 허위 보안 제품(Fake AV) 등을 다량 배포해 주고 있기도 합니다.


그것은 이미 충분히 악성코드에 감염되어 있는 Zombie PC 와 BotNet 을 통한 C&C 기능이라고 보면 되겠지요.

뭐 이제는 잘 아시겠지만 비아그라 성인약품 광고는 아주 기본이겠지요.

결론..

악성코드 제작 목적 = 돈 = 범죄


사용자 삽입 이미지

Posted by viruslab
보안관련소식2010.06.11 10:09


비아그라 광고 메일 보기
악성코드가 비아그라 메일을
보내고 있습니다.

viruslab.tistory.com

iPhone4 과 관련된 내용의 이메일 제목으로 비아그라 광고가 유포되고 있습니다.

사회공학적 스팸메일 광고 기법이지요! 절대 속지마세요.

제목 :
    * iPhone 4 will bring video calls

내용 :
비아그라 광고 이미지와 특정 유해 위험 사이트 링크 주소

사용자 삽입 이미지

Posted by viruslab
보안관련소식2010.06.11 09:48


변형 정보 꼭 읽어보기
다양한 형태로 유포됩니다.
viruslab.tistory.com

보통 악성코드에 감염된 컴퓨터를 Zombie PC 라고 말하지요. 그런데 이러한 컴퓨터가 되면 어떠한 피해가 발생할까요?

감염된 컴퓨터는 제 2의 악성코드 유포자 또는 가해자로 변모(?)하게 되며, DDoS 공격이나 악성코드 메일 유포, 비아그라 광고 메일이나 음란 메일 유포, 허위 보안 제품 유포, 개인정보 유출 피해 등의 행동을 하게 됩니다.  물론 사용자 모르게 하겠지요.

1. Bot Net
2. Zombie PC
3. Spam Mailer
4. C&C
5. Fake Anti-Virus
5. ETC


자 그럼.. 악성코드에 감염되면서 발송되고 있는 비아그라 광고 메일 좀 구경해 보시죠.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

Posted by viruslab
보안관련소식2010.06.10 09:33


페이스북 내용 위장 악성코드 유포 기법
안젤리나 졸리가 보낸 내용으로 특정 링크 접속 유도
viruslab.tistory.com

요즘 Twitter 나 Facebook 같은 SNS 를 악용한 악성코드 유포, 광고 메일 전파 등이 증가하는 것으로 보여집니다.

대부분 마치 트위터나 페이스북에서 발송한 것처럼 위장하고 있으니, 각별히 조심하시면 좋겠네요.

오늘 발견된 내용을 하나 더 소개해 드립니다.

보낸 사람 :
Facebook <- 허위로 위장하고 있는 것입니다.

제목 :
You have 1 unread message(s)... <- 읽지 않은 메시지가 있다고 속이며, "1" 이라는 숫자는 가변적입니다.

본문 :
Facebook sent you a message. <- 본문에 페이스북 링크처럼 위장된 URL 주소를 통해서 다른 사이트로 연결합니다.

Facebook
Subject: Unread message(s)  

To read this message, follow the link below:
http://www.facebook.com/n/?inbox/readmessage.php&t=1692713530957&mid=2e3802dceaca3791d50c13012872f7


사용자 삽입 이미지

신규 메시지를 볼려면 페이스북 링크를 클릭하도록 유도하며, 실제 해당 사이트는 브라질의 광고 사이트로 1차 링크되어 있고, 다시 캐나다 비아그라 판매 사이트로 연결됩니다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.08 08:57


트위터 메일로 위장한 악성코드
Twitter 메일 악성코드 주의하세요.
viruslab.tistory.com

드디어 본색을 드러내기 시작하네요.

어제 보고해 드렸던 트위터 발신지로 위장한 메일이 악성코드 유포에 이어서 예상한대로 "비아그라 광고" 를 띄우기 시작했습니다.

사용자 삽입 이미지

현재 해당 그림을 클릭하면 다음 사이트로 연결을 시도하지만 생성되지 않았거나 구글에 의해서 삭제된 것으로 추정됩니다.

어제 악성코드를 유포했던 구글 그룹 사이트도 차단된 것으로 확인되었습니다.

http://groups.google.com/group/pppppps

구글 그룹을 통한 악성코드 유포가 증대하고 있으므로, 구글 나름대로 이와 관련한 대응안 마련이 요구되고 있습니다.
어쩌면 취약점이 있을지도 모르겠네요! 공격자가 수동으로 계정을 만드는것을 그리 좋아하진 않을 것 같은데 말이죠.

현재 구글에 의해서 차단된 악성코드 링크를 클릭하면 다음과 같이 구글 그룹 초기 화면이 보여집니다.

구글쪽이라면 생성자 추적도 가능하지 않을까 싶은데..

Posted by viruslab
신종악성코드정보2010.06.07 08:52


관련 정보 보기
트위터 피싱 메일 사례 보기
viruslab.tistory.com

마치 트위터에서 보낸 것처럼 위장한 트위터 피싱 메일이 국내에 다수 발견되고 있습니다.

이러한 메일을 받았을 경우 현혹되지 마시고, 무시하시면 좋겠습니다.

앞으로 트위터와 관련된 내용으로 악성코드도 지속적으로 유포될 것으로 우려됩니다.

사용자 삽입 이미지

링크를 클릭할 경우 비아그라 등 광고 사이트가 연결됩니다.

이 사이트의 경우 악성코드를 통하여 광고를 하기도 하였습니다.
사용자 삽입 이미지


Posted by viruslab
보안관련소식2009.07.30 17:15


결론은 비아그라 광고..

사용자 삽입 이미지



Posted by viruslab
분류없음2009.07.18 16:06
신종악성코드정보2009.06.29 14:41


다음과 같은 스팸메일이 전파되고 있습니다.

첨부되어 있는 WATCH PORN VIDEO NOW.html 파일은 비아그라 광고 사이트로 연결을 시도하며, 이는 기존 Iksmas(Waledac) 웜이 광고했던 곳이기도 합니다.

한동안 잠잠하더니 새로 활동을 시작하지 않을까 싶기도 하네요.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

WATCH PORN VIDEO NOW.html 파일은 다음과 같은 코드를 포함하고 있습니다.

비아그라 광고 사이트입니다.

<meta http-equiv='Refresh' content='0; url=http://addfamous.com/' />

Posted by viruslab
보안관련소식2009.05.23 10:17


최근 가장 활발하게 유포되는 Viagra + Cialis SPAM 메일이다.

사용자 삽입 이미지

이전 Iksmas (aka Waledac) Worm 이 광고했던 동일한 URL 을 사용하고 있는 곳이다.

Iksmas Worm 은 신종 인플루엔자 치료제(타미플루)처럼 위장한 내용으로 배포한 바 있다.

사용자 삽입 이미지

사용자 삽입 이미지

악성코드 제작자가 Zombie PC로 구성한 전 세계 Bot Net 을 통해서 SPAM Mail 을 지속적으로 배포하고 있는 것으로 추정되고 있다.

현재 Iksmas 변종 유포는 소강상태를 보이고 있으나, 특별한 사회적인 이슈가 발생하면 또 다시 유포를 시작할 것으로 예측되고 있다.

Posted by viruslab