태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.01.19 10:13


오늘 신정환씨가 귀국한다는 소식이 있지요.

그에 발 맞추어 관련된 제목으로 스팸메일이 유포되고 있네요. 마치 연예인 탁재훈이 보낸 메일 처럼 사칭하고 있습니다.

메일내용은 다음과 같습니다.

제목 :

나 탁재훈이다 신정환 보아라...!!!

내용 :

지난5년간 단한건의 출금사고없이 신뢰를 지켜온 GGG 에서

3천만원 보증보험 체결로 더욱 믿음을 드립니다.

유저승률1위는 매출1위로 이어지고, 그 매출은 회원님들의 더욱 안전한게임을

제공하는것으로 이어져 오픈단골이 지금까지도 이용하고들 계십니다.

*신규회원 3만원 지급이벤트중*

http://m***5.com

사용자 삽입 이미지

본문 내용은 특정 도박 게임 사이트로 링크되어 있습니다. 클릭시 아래의 사이트로 연결됩니다.

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.07.14 13:24


이른바 "밤문화 소식 메일" 이라는 내용 등으로 특정 성인용 사이트와 야간 성인 업소 등을 홍보하는 Spam 성 이메일이 무차별적으로 유포되고 있어서 청소년들에게 좋지 못한 영향이 있을 것 같아 주의가 필요합니다.

특히 해당 메일에는 악성코드에 의해서 무작위로 전파된다는 어처구니 없는 내용도 표기되어 있기도 합니다.





Posted by viruslab
보안관련소식2010.06.21 07:52


변형 정보 꼭 읽어보기
다양한 형태로 유포됩니다.
viruslab.tistory.com

아마존(amazon.com) 에서 발송한 주문 메일처럼 위장한 잠재적 유해 가능 메일이 국내에 전파되고 있습니다.

기존에 성인용 약품(비아그라 등) 광고를 퍼트리던 악성코드와 연계되어 있을 것으로 추정됩니다.

메일 본문에 포함되어 있는 다수의 링크를 클릭할 경우 광고를 하기 위한 사이트로 연결됩니다.


사용자 삽입 이미지

메일 본문에 포함되어 있는 다수의 가짜 링크를 클릭하면 다음과 같이 성인용품 광고 사이트로 연결됩니다.

사용자 삽입 이미지
 

 

Posted by viruslab
신종악성코드정보2010.06.21 07:37


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

loveletter.html, document.html 등의 파일명으로 변경된 것이 목격되고 있습니다.

제목 :
I Know It When

내용 :
Love, Always And Forever

open attach and read all ;)

첨부파일 :
loveletter.html

첨부된 파일명이 동일하더라도 제목과 본문 내용이 다른 형태가 다수 보고되고 있습니다.

사용자 삽입 이미지

다음으로는 document.html 파일명 형태입니다.

제목 :
Update your girth

내용 :
Dont you see her cheating you?

open attach and read all ;)

첨부파일 :
document.html

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.06.16 16:49


http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

■ SNS 악성코드 소통의 창구로 악용 주의

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

사용자 삽입 이미지

 트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

사용자 삽입 이미지

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)

사용자 삽입 이미지

2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.

사용자 삽입 이미지

본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

사용자 삽입 이미지
 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.

사용자 삽입 이미지


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.

사용자 삽입 이미지

본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다.

※ 피싱(Phishing)이란?

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다.

사용자 삽입 이미지

최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.

사용자 삽입 이미지
 
버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.

사용자 삽입 이미지

여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.15 12:59


트위터 암호 초기화 메일에서 페이스북 초기화 메일로 변경되었습니다.

트위터 암호 초기화 위장 내용 보기
Reset your Twitter password
viruslab.tistory.com

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

- open.html :
http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882

제목 :
Reset your Facebook password

내용 :
Hey there.

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Yours,
Facebook=

첨부파일 :
facebook_newpass.html



사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.10 09:33


페이스북 내용 위장 악성코드 유포 기법
안젤리나 졸리가 보낸 내용으로 특정 링크 접속 유도
viruslab.tistory.com

요즘 Twitter 나 Facebook 같은 SNS 를 악용한 악성코드 유포, 광고 메일 전파 등이 증가하는 것으로 보여집니다.

대부분 마치 트위터나 페이스북에서 발송한 것처럼 위장하고 있으니, 각별히 조심하시면 좋겠네요.

오늘 발견된 내용을 하나 더 소개해 드립니다.

보낸 사람 :
Facebook <- 허위로 위장하고 있는 것입니다.

제목 :
You have 1 unread message(s)... <- 읽지 않은 메시지가 있다고 속이며, "1" 이라는 숫자는 가변적입니다.

본문 :
Facebook sent you a message. <- 본문에 페이스북 링크처럼 위장된 URL 주소를 통해서 다른 사이트로 연결합니다.

Facebook
Subject: Unread message(s)  

To read this message, follow the link below:
http://www.facebook.com/n/?inbox/readmessage.php&t=1692713530957&mid=2e3802dceaca3791d50c13012872f7


사용자 삽입 이미지

신규 메시지를 볼려면 페이스북 링크를 클릭하도록 유도하며, 실제 해당 사이트는 브라질의 광고 사이트로 1차 링크되어 있고, 다시 캐나다 비아그라 판매 사이트로 연결됩니다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.08 08:57


트위터 메일로 위장한 악성코드
Twitter 메일 악성코드 주의하세요.
viruslab.tistory.com

드디어 본색을 드러내기 시작하네요.

어제 보고해 드렸던 트위터 발신지로 위장한 메일이 악성코드 유포에 이어서 예상한대로 "비아그라 광고" 를 띄우기 시작했습니다.

사용자 삽입 이미지

현재 해당 그림을 클릭하면 다음 사이트로 연결을 시도하지만 생성되지 않았거나 구글에 의해서 삭제된 것으로 추정됩니다.

어제 악성코드를 유포했던 구글 그룹 사이트도 차단된 것으로 확인되었습니다.

http://groups.google.com/group/pppppps

구글 그룹을 통한 악성코드 유포가 증대하고 있으므로, 구글 나름대로 이와 관련한 대응안 마련이 요구되고 있습니다.
어쩌면 취약점이 있을지도 모르겠네요! 공격자가 수동으로 계정을 만드는것을 그리 좋아하진 않을 것 같은데 말이죠.

현재 구글에 의해서 차단된 악성코드 링크를 클릭하면 다음과 같이 구글 그룹 초기 화면이 보여집니다.

구글쪽이라면 생성자 추적도 가능하지 않을까 싶은데..

Posted by viruslab
보안관련소식2009.09.23 09:24


http://www.dt.co.kr/contents.html?article_no=2009092202019954607016&ref=naver

비아그라 스팸처럼 증가하지 않을까 싶군요.

사용자 삽입 이미지



Posted by viruslab
보안관련소식2007.12.04 14:52


요즘 이메일로 엄청 수신되는 종류이다. 그림파일에는 남자의 특정 부위가 노출(19금)된 경우도 많이 있다.
여성들을 위한 스팸인가 보다.

사용자 삽입 이미지
Posted by viruslab
TAG spam, 스팸