태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'악성코드'에 해당되는 글 135건

  1. 2011.01.21 해외에서 pornoplayer.exe 파일명으로 다량 유포 중인 음란 Ransomware 주의 (1)
  2. 2010.10.14 끊임없는 악성코드 위협과 그들의 노력 (2)
  3. 2010.09.30 제록스(Xerox) 스캔 문서로 위장한 악성 파일 첨부 이메일 국내 유입
  4. 2010.09.27 이력서(Curriculum Vitae) 내용으로 위장한 악성코드 이메일 국내 유입
  5. 2010.09.08 악성파일 진단명과 변형도의 변화는 시대의 흐름인가? (1)
  6. 2010.08.31 nProtect Anti-Virus 치료 패턴 곧 900만개 돌파 예정 (2)
  7. 2010.08.30 윈도우64 비트용 악성코드 진단 현황
  8. 2010.08.27 페덱스(FedEx) 운송 내용으로 위장한 악성코드 다량 전파 중
  9. 2010.08.25 3차 세계전쟁? "World War III is coming in 6 months" 라는 허위 내용으로 유해성 메일 국내 유입 (1)
  10. 2010.08.23 구글 코드 사이트는 악성코드 개발 보관용?
  11. 2010.08.20 COMRes.dll을(를) 찾을 수 없으므로 응용 프로그램을 시작하지 못했습니다. 이 문제를 해결하려면..
  12. 2010.08.20 Newsletter(신문) 이라는 제목으로 악성코드 이메일 전파 중
  13. 2010.08.20 "invoice.zip" 첨부파일로 새로운 악성코드가 이메일로 국내에 유입
  14. 2010.08.19 "resume.html" 악성 파일이 포함되어 있는 이메일 국내 유입
  15. 2010.08.18 "invoice.html" 악성 파일을 첨부한 이메일 국내 유입
  16. 2010.08.18 html 첨부한 악성코드 또 다시 유포 시작
  17. 2010.08.14 엔프로텍트(nProtect) Mobile for ANDROID (1)
  18. 2010.08.13 "Your reservation is confirmed - Ref: 46397/900632" 제목의 악성코드 이메일 국내 유입
  19. 2010.08.12 DHL 배송 번호로 위장한 악성코드 이메일 국내 유입
  20. 2010.08.12 자동차 대출(Car loan) 내용으로 위장한 악성코드 이메일이 국내에 유입되었으니, 조심하세요.
  21. 2010.08.11 최초의 안드로이드용 트로이목마 Anti-Virus 업체들 패턴 추가 중
  22. 2010.08.10 "TAX EXEMPTIONS.zip" 첨부파일의 악성코드 이메일 국내에 유입
  23. 2010.08.10 정식 디지털 서명(Digital Sign)을 가지고 있는 Stuxnet 악성코드
  24. 2010.08.09 허위 쇼핑 주문메일 등으로 위장하여 유해 가능 웹사이트로 연결하는 악성코드 이메일 주의하세요.
  25. 2010.08.09 마이크로 소프트 iPhone 용 PDF 악성코드 진단명 추가 - Exploit:iPhoneOS/Pidief.A
  26. 2010.08.09 페이스북(Facebook)에서 발송한 내용으로 위장한 유해 가능 이메일 국내 유입 조심하세요. (1)
  27. 2010.08.09 "SIGN BOARDS" 제목의 악성코드 이메일 국내 유입
  28. 2010.08.09 "Solve this if you could...!!!!", "Software QA Engineer - 3+ Experience" 제목의 악성코드 이메일 국내 유입
  29. 2010.08.09 Homax Docs 제목으로 유포 중인 악성코드 이메일 주의하세요.
  30. 2010.08.09 프랑스 여객기 추락 사진 처럼 위장한 내용의 악성코드 이메일이 국내에 유입되었으니 주의하시요.
보안관련소식2011.01.21 13:09


해외쪽을 모니터링하다 보면 최근에 많이 발견되고 있는 악성파일 중에 하나가 pornoplayer.exe 입니다.

이 녀석은 랜섬웨어(Ransomware) 의 한 형태로, 실행시 아래와 같이 즉시 시스템을 강제 리부팅 시키고, 재부팅이 되면 사용자의 정상적인 컴퓨터 작업을 차단(방해)하고 돈을 요구합니다.

사용자 삽입 이미지

재부팅이 되면 다음과 같이 마우스 컨트롤이 정상적으로 안되고, 키보드로 문자 입력만 가능하도록 조작합니다.

특히, 화면에 매우 음란한 성인 두남자의 노출 화면(모자이크 처리함)이 보여지고 있어, 컴퓨터 사용자에게 큰 피해(?)를 줄 수 있습니다.

사용자 삽입 이미지

해당 악성파일에 감염되었을 경우에는 안전모드(F8)로 부팅한 다음에 아래와 같은 파일을 찾아서 수동으로 삭제하거나 nProtect Anti-Virus 최신 버전으로 검사->치료를 하면 정상적인 부팅이 가능합니다.

사용자 삽입 이미지

안전모드로 부팅 후에 [C:\Documents and Settings\사용자계정] 폴더에 접근하면 숫자만으로 조합된 폴더를 확인할 수 있습니다.

이 폴더 안에 숫자로 조합된 EXE 파일과 n 파일이 있을 경우 두개의 파일을 삭제 또는 다른 경로로 이동 후에 재부팅하면 정상적으로 컴퓨터 사용이 가능합니다.

사용자 삽입 이미지





Posted by viruslab
보안관련소식2010.10.14 10:25


보안뉴스 오병민 기자분과 간략히 전화 인터뷰한 내용이 기사화되었습니다.

[기자수첩] 끊임없는 악성코드 위협과 그들의 노력
http://www.boannews.com/media/view.asp?idx=23257

자발적인 참여로 이루어지고 있지만 앞으로 민관 공조가 활성화된다면 좀더 큰 보안 시너지 효과가 발생될 수 있다고 생각합니다.

거기에 기자님이 말씀하신 "더 좋은 환경과 더 좋은 대우"까지 생각해 준다면 많은 보안 전문가들에게 큰 힘이 되지 않을까 샆기도 합니다.^^

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.09.30 09:01


제록스(Xerox) 관련 내용을 위장하여 악성 파일을 유포하는 이메일 형태가 지속적으로 국내에 유입되고 있습니다.

국내에 변종 악성 파일을 포함한 메일이 추가 유입되었사오니, 아래 내용 참고하시어 유사 악성 메일에 노출되지 않도록 조심하시면 좋겠습니다.

이메일 내용과 파일은 지속적으로 조금씩 변경되어 배포되고 있습니다.

제목 :
Scan from a Xerox WorkCentre  P7725808

내용 :
Good day,
Please open the attached document. It was scanned and sent to you using a Xerox WorkCentre Pro.

Sent by: Guest
Number of Images: 1
Attachment File Type: ZIP [DOC]

WorkCentre Pro Location: machine location not set Device Name: XRX2090AA7ACDB45466972.

첨부파일 :
Xerox_Scan_N0032-42344250.zip


사용자 삽입 이미지

메일 본문에 첨부되어 있는 "Xerox_Scan_N0032-42344250.zip" 압축 파일 내부에 다음과 같이 "Xerox_Scan_N0032-42344250.doc.exe" 이중 확장자를 가진 악성 파일이 포함되어 있습니다.

아이콘과 2중 확장자 중 일부가 DOC 워드 문서로 보이도록 위장하고 있습니다.

사용자 삽입 이미지
사용자 삽입 이미지

해당 악성 파일은 nProtect Anti-Virus 2010년 9월 30일자 버전부터 진단 및 치료가 가능하도록 진행 중에 있습니다.



Posted by viruslab
신종악성코드정보2010.09.27 09:26


다양한 이력서(curriculum vitae) 메일 내용처럼 위장한 악성코드 이메일이 국내에 유입되고 있습니다.

아래와 같은 내용의 이메일을 수신하실 경우 절대로 첨부파일을 열지 마시길 바랍니다.

제목 :
Here's that file that you wanted.

내용 :
Please take a look at the attached resume.

첨부파일 :
40596cv.zip 외 다수의 파일명


사용자 삽입 이미지

첨부파일명은 40596cv.zip, 13654cv.zip, 72422cv.zip 등 다양하게 존재하며, 제목과 내용도 조금씩 다른 것들이 다수 발견되었습니다.

대체로 CV 라는 이력서 내용처럼 사용한 것이 공통점이라 할 수 있습니다.

압축 파일 내부에는 cv.exe 라는 악성프로그램이 포함되어 있습니다.

사용자 삽입 이미지

nProtect Anti-Virus 9월 27일자 부터 치료가 가능합니다.



Posted by viruslab
보안관련소식2010.09.08 10:58


MS DOS 운영체제 시절에는 신종 도스용 바이러스가 출현하고 얼마 후에 소스프로그램을 수정한 변형(Variant/Mutation)이 발견되면 진단명에 감염 파일 사이즈를 추가하거나, 알파벳을 순차적으로 부여해서 원형과 변형을 구분하여 사용했었지요.

MS Windows 운영체제로 넘어오면서 Anti-Virus 업체들은 기존 도스용 악성프로그램의 진단명 명명 방식을 대체로 유지하면서 변형도를 통해서 어떠한 종류의 악성프로그램 전파도가 높은 지 통계자료용으로 사용하기도 하고, 변형도를 통해서 악성코드 개발자의 활동량을 예측할 수도 있었지요.

악성프로그램의 변형 방식이 단순 실행압축화 부터 복잡한 암호화 기능까지 적용하면서는 다양한 Anti-Virus 엔진 기술이 도입되는 계기를 마련하기도 하였습니다.

또한, 원형과 변형의 구분이 명확하지 않은 형태도 존재하며, 많은 양의 악성프로그램을 분석가가 개별 변형도 파악에 시간적 환경적 어려움이 발생하면서 Anti-Virus 업계에서는 유전공학에서 사용하는 DNA(유전자)의 숫자와 위치를 나타내는 게놈(Genome)지도라는 형태를 참고하여, 악성코드들의 변형체 구조를 분석하고 파악하여 자동으로 변형도를 명명하는 방식 등도 연구하고 도입한 바 있습니다.


사용자 삽입 이미지

이처럼 악성프로그램의 변형도 부여는 Anti-Virus 업계에서 다양하게 접근했던 기술중에 하나이기도 합니다.

그러나 악성프로그램의 복합성과 복잡화는 진단명 명명을 하는데 매우 어려운 과제로 떠올랐고, 특히 기하급수적으로 증가하는 악성파일의 수량과 이를 탐지하기 위해서 개발되는 Pattern 이나 Signature 의 용량 증대도 진단명 변화에 조금씩 불씨를 당기게 되는 계기가 되었습니다.

초반에는 다수의 변형이나 유사종이 존재하는 형태를 일괄 통합 진단(Generic Detection)하도록 하여, 하나의 진단명으로 다수의 악성프로그램 변종을 통합적으로 탐지하고 치료할 수 있도록 기능을 개선하기도 하였고, 사전 탐지 기능용 진단명(Heuristic)을 통해서도 인텔리전트한 엔진 기술이 개발되고 있기도 합니다.

그러나 이러한 부분도 오진(False Positive) 등의 문제에 부딪히고, 사용자에 대한 신뢰도 및 편의성 증대가 우선시되면서 매우 신중하고 조심스럽게 접근하고 있는 부분 중에 하나라고 할 수 있을 것 같습니다.

점차적으로 Anti-Virus 업체들도 많아지고, 진단명 방식도 매우 다양화되면서 본질적인 정책이 무색할 정도로 무분별한 방식이 사용되고 있기도 하지만, 이는 각 회사의 정책적인 부분으로 인정해야 하는 부분입니다.

최근에는 Virus 와 Trojan Horse 기능을 복합적으로 보유하고 있거나, Worm 과 Virus, Trojan 기능을 종합적으로 가지고 있는 녀석들도 많이 있습니다.

사용자 삽입 이미지

예전에는 웜바이러스라는 잘못된 용어를 기자분들이나 언론에서 사용자들의 이해도를 감안하여 사용한 경우도 많았지요?!

웜과 바이러스 기능이 복합적으로 있을 경우에는 바이러스에 우선순위를 주어 바이러스로 구분하는 것이 적절했지만, 지금은 이러한 부적절 용어가 너무 보편화, 일반화(?) 되어지다보니 자연스럽게 사용되는 용어가 되는 듯 싶기도 합니다. 그러나 Anti-Virus 업계에 있는 전문가들은 용어 사용에 매우 각별히 주의를 하는 편이고, 별도로 교육을 하는 부분이기도 합니다.

또한, Patched 와 같이 정상 (시스템) 파일의 특정 부분을 수정해서 또 다른 URL 에서 악성파일을 다운로드 설치하거나, 또 다른 파일을 실행시켜 주는 등등의 기능을 수행하는 형태도 다수 보고되고 있습니다.

그럼 Patched 는 Virus 일까요? Trojan 일까요?

정상 파일을 변조했다는 결과론적인 측면에서 접근하면 Virus 이며, 치료 개념도 Virus 감염체와 동일하게 추가/변조된 코드를 제거/수정해 주어야 합니다.

다만, 많은 Anti-Virus 업체 제품들의 진단명을 보면 Patched 가 Trojan 으로 구분되는 경우가 많이 있지요.

그것은 자동화 업데이트에 따른 변화일 수도 있고, Patched 라는 형태가 Virus 와 Trojan 이라는 복합적인 성격을 가지고 있기도 한 부분에서 원인을 찾아볼 수 있습니다.

보통 Patched 라는 형태는 이미 감염기(Patcher/Infector)에 의해서 변화된 2차 감염체(Patched/Infected)이며, 일반적으로 감염기는 감염만 시키고 스스로 자멸(Self Delete)되는 형태가 많습니다.

따라서 Patcher 는 생존시간이 짧은 Trojan-Dropper 형태에 가깝고, Patched 는 이미 정상 파일을 변조한 형태이므로 Anti-Virus 제품은 코드 수정(치료)이라는 과정이 우선적으로 요구되기 때문에 Virus 에 우선순위를 주는 것이 적절할 것으로 판단되지만, Patched 된 코드 자체도 Virus 정의와 부합되는 전파 기능은 보유하고 있지 않기 때문에 Virus 와 Trojan 의 중간적인 성향을 가지고 있다고 보면 될 것 같습니다.

그러나  Patched 된 시스템 파일을 Trojan 으로 구분하게 되면 기존에 Trojan 정의 및 치료 개념에 부합되지 못하는 문제가 발생할 수 있기 때문에 변조된 파일에 한하여 Virus 종으로 분류하는 것이 적절한 치료 대응에 있어서 적합성을 높게 판단할 수 있는 기준이 될 수 있을 것이라 판단됩니다.

1. Patcher (감염기/Infector/Dropper) 의 경우는 Trojan 으로 정의하고, 진단명은 Patched 로 명명하며, 단순 삭제로 처리함.

http://www.virustotal.com/file-scan/report.html?id=9f475a226240e568211190dec2eaaa2332eeed425b5d5872a244416c1a5e12ca-1283437883

2. Patched (감염체/Infected)의 경우는 정상 파일을 변조(Patch)시킨 경우엔 Virus 로 정의하고 진단명은 Patched 로 명명하며, 변조된 코드는 제거/수정(치료)하도록 함.

http://www.virustotal.com/file-scan/report.html?id=2f55eb9873e0aacdc2f3cbc0fc369f0c8e264efdcbdd866d68ec12848f6af009-1283584783

하지만 지금의 많은 업체들은 이러한 악성코드를 대부분 자동화 처리를 하고 있기 때문에 삭제처리가 가능한 Trojan 형태로 우선 분류하고 있기도 합니다.

또한 진단명에서 변형도를 제거하거나 고유의 ID를 부여하는 방식을 사용하는 경우도 많아지고 있는 듯 싶습니다.

Kaspersky Lab 을 제외하고 Symantec, Bitdefender 등 다수의 메이저 업체들이 진단명에서 변형도 사용을 없애거나, 점차 축소하는 모습을 보이고 있습니다.

http://www.virustotal.com/file-scan/report.html?id=cc788025fc3326d77ac2d06b44871d8602880b4a2afa370e5017fd32dcadc568-1283856658

변형도 미사용은 진단명 구분이나 관리적인 측면에서는 대응 시간을 단축시킬 수 있는 장점이 있겠지만, 어떠한 악성코드의 변종인지 파악하는데 어려움이 발생하거나, 분기별 악성코드 전파 상황을 파악할 수 있는 통계자료 등에서는 모호한 결과 자료가 도출되는 오류가 발생할 수도 있겠지요.

Kaspersky Lab 의 지속적인 변형도 부여 및 관리를 보면서 정말 자체적인 (자동화) 분석 시스템을 잘 갖추고 있다는 생각이 들 정도이기도 한 부분입니다.

사용자 삽입 이미지

마지막으로..

변형도를 정확히 파악하고 부여하는 것은 기술적으로 많은 시간과 노력을 해야 하는 부분이며, Anti-Virus 기술적으로도 매우 중요한 부분이지만, 진단명 및 변형도 판단의 중요성 공감대 부족과 시대적 판단 착오가 진단명 컨버전스에만 집중하는 것은 아닌지 다시 한번 고려해 볼 만하다는 점이다.



Posted by viruslab
신종악성코드정보2010.08.31 14:34


2007년 9월 1일부터 잉카 인터넷 자체 Anti-Virusu 엔진명인 타키온(Tachyon)의 일일 업데이트 1,000개 프로젝트를 시작했던 기억이 납니다. 

2009년 1월 14일에 Virus Total 서비스에 nProtect 스캔 기능이 탑재되면서 다수의 샘플이 접수되었고요.

2008년 7월 4일에 타키온 패턴이 30만개를 돌파하였고, 2008년 11월 19일에 40만개를 돌파하였습니다.

이후 2009년 07월 07일에 100만개를 돌파했고, 약 6개월 후인 2010년 01월 12일에 200만개를 돌파하였습니다.

타키온 패턴의 업데이트는 다음의 경로에서 확인해 보실 수 있습니다.

http://www.nprotect.com/v7/nsc/sub.html?mode=engine&subpage=3

비트디펜더와 합쳐진 총 패턴수는 2010년 8월 30일 현재 8,997,576 개 이고, 곧 900만개를 돌파하지 않을까 싶네요.

악성코드와의 전쟁은 언제까지? 쭈욱~~~

언젠가는 종전 선언? 독립 선언문 낭독??? ㅡ.ㅡ+

사용자 삽입 이미지
 
Posted by viruslab
신종악성코드정보2010.08.30 10:24


http://blogs.technet.com/b/mmpc/archive/2010/08/27/alureon-evolves-to-64-bit.aspx

http://www.virustotal.com/file-scan/report.html?id=59c1efe60288d50d0cfeeea9a1e0d4ef27582c4ef7bff1d7af799cad703ce19b-1282840282

nProtect Anti-Virus 에 신규 진단명으로 추가 업데이트가 진행될 예정입니다.

Antivirus Version Last Update Result
AhnLab-V3 2010.08.26.00 2010.08.25 Backdoor/Win64.Tidserv
AntiVir 8.2.4.46 2010.08.26 -
Antiy-AVL 2.0.3.7 2010.08.26 -
Authentium 5.2.0.5 2010.08.26 -
Avast 4.8.1351.0 2010.08.26 -
Avast5 5.0.594.0 2010.08.26 -
AVG 9.0.0.851 2010.08.26 Crypt.ZGV
BitDefender 7.2 2010.08.26 Rootkit.Tdss.AX
CAT-QuickHeal 11.00 2010.08.24 -
ClamAV 0.96.2.0-git 2010.08.26 -
Comodo 5866 2010.08.26 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.08.26 -
Emsisoft 5.0.0.37 2010.08.26 -
eSafe 7.0.17.0 2010.08.26 -
eTrust-Vet 36.1.7818 2010.08.26 -
F-Prot 4.6.1.107 2010.08.26 -
F-Secure 9.0.15370.0 2010.08.26 Trojan.Generic.4657336
Fortinet 4.1.143.0 2010.08.26 -
GData 21 2010.08.26 Rootkit.Tdss.AX
Ikarus T3.1.1.88.0 2010.08.26 -
Jiangmin 13.0.900 2010.08.26 -
Kaspersky 7.0.0.125 2010.08.26 -
McAfee 5.400.0.1158 2010.08.26 DNSChanger!eo
McAfee-GW-Edition 2010.1B 2010.08.26 -
Microsoft 1.6103 2010.08.26 Trojan:Win64/Alureon.B
NOD32 5399 2010.08.26 -
Norman 6.05.11 2010.08.25 -
nProtect 2010-08-26.01 2010.08.26 Trojan.Generic.4657336
Panda 10.0.2.7 2010.08.26 Suspicious file
PCTools 7.0.3.5 2010.08.26 Backdoor.Tidserv
Prevx 3.0 2010.08.26 -
Rising 22.62.03.01 2010.08.26 -
Sophos 4.56.0 2010.08.26 -
Sunbelt 6797 2010.08.26 -
SUPERAntiSpyware 4.40.0.1006 2010.08.26 -
Symantec 20101.1.1.7 2010.08.26 Backdoor.Tidserv.L
TheHacker 6.5.2.1.356 2010.08.26 -
TrendMicro 9.120.0.1004 2010.08.26 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.26 -
VBA32 3.12.14.0 2010.08.25 -
ViRobot 2010.8.26.4009 2010.08.26 Trojan.Win64.S.Alurenon.24044
VirusBuster 5.0.27.0 2010.08.26 -

사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.08.27 09:01


페덱스(FedEx) 운송장과 관련된 내용으로 위장하여 악성코드 메일이 해외에서 다량으로 전파되고 있어 주의가 필요합니다.

http://www.sophos.com/blogs/gc/g/2010/08/26/outbreak-fake-fedex-tracking-number-emails-carry-malware/

아래 내용 참고하시어 악성코드에 노출되시지 않도록 각별히 조심하시는 것이 좋겠습니다.

특히, 메일 본문이 이미지 파일로 되어 있습니다.

사용자 삽입 이미지

첨부되어 있는 FEDEXInvoiceEE866413OP.zip 파일은 아래와 같고, 내부에 "FedexInvoice_EE776129.exe" 파일명의 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

특히 exe 파일은 pdf 파일처럼 위장하기 위해서 아이콘을 다음과 같이 사용하고 있으며, 파일은 중국어로 제작되어 있습니다.

사용자 삽입 이미지

악성코드는 nProtect Anti-Virus 8월 27일자 패턴부터 치료가 가능합니다.


Posted by viruslab
보안관련소식2010.08.25 09:39


세계 누드데이 사진 이라는 제목과 세계 3차 세계대전 이라는 허위 내용으로 악성 SPAM 메일이 국내에 유입되었습니다.

아래 내용처럼 메일 본문에 URL 등이 있을 경우 무심코 클릭하지 않도록 조심하시는 것이 좋겠습니다.

제목 :
See World Naked Day photos

내용 :
World War III is coming in 6 months
http://www.(생략)rm.ru/

사용자 삽입 이미지

메일 본문에 포함되어 있는 러시아의 특정 도메인 URL 주소를 클릭할 경우 다음과 같은 새로운 사이트가 연결되며,
성기 노출 등 매우 음란한 화면과 성인 용품 사이트가 열려지게 됩니다.(부분 모자이크 처리)

사용자 삽입 이미지

완전 포르노 수준의 SPAM 메일이라 각별히 유의하는 것이 좋겠습니다.

이런 메일은 Anti-Virus 제품에서 차단하지 못하는 경우가 많습니다. Spam Filter 등을 통해서 차단하면 좋겠습니다.

Posted by viruslab
신종악성코드정보2010.08.23 11:31



특정 구글 코드 사이트가 악성코드 등록용으로 사용되고 있는 것으로 확인되었습니다.

http://code.google.com/
 

사용자 삽입 이미지

악성코드 개발자의 정보 공유용으로 악용되지 않도록 관리가 필요해 보이네요.

아래는 중국쪽에서 만들어진 것으로 보여지는 구글 코드 사이트이며, 다수의 악성코드가 등록되어 있습니다.

사용자 삽입 이미지




Posted by viruslab
감염대처법2010.08.20 10:03


COMRes.dll을(를) 찾을 수 없으므로 응용 프로그램을 시작하지 못했습니다. 이 문제를 해결하려면 응용 프로그램을 다시 설치하십시오.

라는 메시지 창을 보시는 분이 많이 계신 듯 싶습니다.

악성코드에 감염되면서, 해당 파일이 변조, 삭제되어 발생하는 문제로 보여지고요. -> http://viruslab.tistory.com/2006

한글 윈도우 XP SP3 인 경우 아래의 파일을 다운로드 하시고, 시스템 폴더에 넣어 보시면 해결이 가능하실 것입니다.

comres.dll

버전 - 2001.12.4414.700


시스템 폴더(일반적 WinXP 기준) - C:\WINDOWS\system32


사용자 삽입 이미지

그리고 꼭 악성코드 검사를 다시 한번 해보시고요. nProtect Anti-Virus 제품으로 최근 발견되는 악성코드 치료가 가능합니다.

http://avs.nprotect2.net/package/avs/nProtectVS2007.exe

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.08.20 09:17


뉴스레터라는 제목과 August_2010.zip 이라는 첨부파일을 가진 악성 이메일이 유입되어 전파 중입니다.

아래 내용 참고하시어 악성코드 감염 예방에 도움이 되시면 좋겠습니다.

제목 :
Newsletter

내용 :
I have attached the Wisconsin district and the Chapter I newsletters for August.

Homer
GWRRA Chapter WI-I

첨부파일 :
August_2010.zip



사용자 삽입 이미지

설치되는 악성코드는 외산 허위 Anti-Virus 제품류이며, nProtect Anti-Virus 2010년 8월 20일자에 치료 기능이 추가될 예정입니다.


Posted by viruslab
신종악성코드정보2010.08.20 08:57


아래와 같은 내용으로 악성코드 파일을 첨부한 이메일이 조금 전 국내에 유입된 것이 확인되었습니다.

내용 참고하시어, 악성코드 감염에 대비하시면 좋겠습니다.

제목 :
Aldo Invoice (62056)

내용 :
Please contact (특정 이메일 주소) for any questions.  Thank you.

첨부파일 :
invoice.zip



사용자 삽입 이미지

"invoice.zip" 압축 파일 내부에는 "Chap I letter 09-10.exe" 라는 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

exe 악성파일은 일반적인 설정 파일 아이콘을 사용하고 있습니다.

사용자 삽입 이미지

해당 악성코드는 nProtect Anti-Virus 2010년 08월 20일자에 치료 기능이 추가될 예정입니다.


Posted by viruslab
신종악성코드정보2010.08.19 09:02


지속적으로 악성 html 파일이 첨부된 이메일이 국내에 유입되고 있으며, 대부분 외산 허위 Anti-Virus 제품 설치를 유도하거나, 광고 사이트 등으로 리다이렉션 시키고 있습니다.

또는 새로운 악성코드를 설치하여 Bot Net 을 구성하는데 사용하기도 합니다.

2010년 08월 19일 새벽 4시경에 유입된 형태는 이력서 내용 처럼 위장한 것이 발견되었습니다.

아래 내용 참고하시어 이러한 메일을 수신하실 경우 절대 첨부파일을 실행하지 마시기 바랍니다.

제목 :
Resume

내용 :
Attached, please find

첨부파일 :
resume.html



사용자 삽입 이미지

첨부되어 있는 resume.html 파일은 기존과 다르게 X-HTML Encoder 를 이용하는 형태로 변경되었습니다.

사용자 삽입 이미지

자바스크립트 함수를 Decode 하면 다음과 같은 URL 주소(일부 삭제)로의 연결 기능을 가진 것을 알 수 있습니다.

사용자 삽입 이미지

현재 도메인은 계속 변경되고 있는 것으로 파악되었습니다.

x.html 파일에는 다음과 같이 또 다른 사이트로 연결을 시도하는 코드가 포함되어 있습니다.

사용자 삽입 이미지

연결되는 사이트는 외산 허위 Anti-Virus 제품 사이트로 연결됩니다.

사용자 삽입 이미지

DOWNLOAD FOR FREE 버튼을 클릭하면 다음과 같이 악성코드 감염 경고 창과 함께 제거 버튼 클릭을 유도합니다.

그 후에 아래와 같이 antivirus.exe 라는 가짜 Anti-Virus 프로그램이 다운로드 시도됩니다.

사용자 삽입 이미지

설치되는 파일 antivirus.exe 는 현재 다음과 같이 국내 대부분의 제품이 진단하지 못하고 있으며, nProtect Anti-Virus 2010년 08월 19일자 버전부터 치료가 가능합니다.

http://www.virustotal.com/file-scan/report.html?id=900ac6cac90fcae059b823f029fa3a05a391ed700a84ddd5ebb267fc4671e0a9-1282175934

Antivirus Version Last Update Result
AhnLab-V3 2010.08.19.00 2010.08.18 -
AntiVir 8.2.4.38 2010.08.18 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.18 W32/Katusha.D.gen!Eldorado
Avast 4.8.1351.0 2010.08.18 -
Avast5 5.0.332.0 2010.08.18 -
AVG 9.0.0.851 2010.08.18 -
BitDefender 7.2 2010.08.19 Trojan.Generic.KD.27519
CAT-QuickHeal 11.00 2010.08.18 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.08.19 -
Comodo 5784 2010.08.18 Win32.PkdKrap.AS
DrWeb 5.0.2.03300 2010.08.19 -
Emsisoft 5.0.0.37 2010.08.18 -
eTrust-Vet 36.1.7799 2010.08.18 -
F-Prot 4.6.1.107 2010.08.18 W32/Katusha.D.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.19 -
Fortinet 4.1.143.0 2010.08.18 -
GData 21 2010.08.19 -
Ikarus T3.1.1.88.0 2010.08.18 -
Jiangmin 13.0.900 2010.08.18 -
Kaspersky 7.0.0.125 2010.08.19 -
McAfee 5.400.0.1158 2010.08.19 -
McAfee-GW-Edition 2010.1B 2010.08.18 -
Microsoft 1.6004 2010.08.19 VirTool:Win32/Obfuscator.JK
NOD32 5377 2010.08.18 a variant of Win32/Kryptik.GDD
Norman 6.05.11 2010.08.18 -
nProtect 2010-08-18.01 2010.08.18 -
Panda 10.0.2.7 2010.08.18 -
PCTools 7.0.3.5 2010.08.18 Trojan.FakeAV
Prevx 3.0 2010.08.19 -
Rising 22.61.02.02 2010.08.18 -
Sophos 4.56.0 2010.08.19 Mal/FakeAV-EI
Sunbelt 6757 2010.08.19 -
SUPERAntiSpyware 4.40.0.1006 2010.08.19 -
Symantec 20101.1.1.7 2010.08.18 Trojan.FakeAV!gen32
TheHacker 6.5.2.1.351 2010.08.19 -
TrendMicro 9.120.0.1004 2010.08.18 TROJ_FAKEAV.SMDO
TrendMicro-HouseCall 9.120.0.1004 2010.08.19 TROJ_FAKEAV.SMDO
VBA32 3.12.14.0 2010.08.17 Malware-Cryptor.Win32.General.3
ViRobot 2010.8.18.3995 2010.08.18 -
VirusBuster 5.0.27.0 2010.08.18 -


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046
- invoice.html : http://viruslab.tistory.com/2047
- resume.html :  http://viruslab.tistory.com/2048

Posted by viruslab
신종악성코드정보2010.08.18 16:59


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046
- invoice.html : http://viruslab.tistory.com/2047

html 파일 형태로 첨부되어 악성코드 이메일이 지속적으로 유포되고 있습니다.

악성코드 유포자는 이 방식을 통해서 허위(가짜) 백신 등을 함께 배포하기도 하며, 비아그라 등 특정 제품 광고를 통해서 수익 모델을 창출하고 있는 상태입니다.

2010년 08월 18일 오후에 다음과 같은 형태가 추가로 국내에 유입되어 전파되고 있으며, 메일 제목과 본문 등이 다른 형태가 다수 발견되고 있습니다.


그 동안 정상적으로 작동(?)이 되지 않아서 계속 증거를 잡지 못했던 JAVA Applet 취약점 파일도 드디어 단서를 잡았네요.

먼저 조금 전 국내에 유입된 이메일 내용은 아래와 같습니다.

제목 :
Tracking # and Invoice

내용 :
CIRCUIT SPECIALISTS, INC.                               TRACK                                 Date-Wed, 18 Aug 2010 12:21:06 +0530   Ref# TRACK
                                                                                             Time-15:35:42   Page    1
Ship Date            Wed, 18 Aug 2010 12:21:06 +0530        THRU Wed, 18 Aug 2010 12:21:06 +0530

The attached file is a copy of your invoice.  It is best viewed with
notepad or some other text viewer that does not try to format the text.

Date Shipped  Our Ref.   Your Ref.       Tracking #
Wed, 18 Aug 2010 12:21:06 +0530          255596 NET 52777       1Z8771870342348699

첨부파일 :
invoice.html


사용자 삽입 이미지

첨부파일은 아래와 같은 형식으로 구성되어 있으며, 또 다른 특정 도메인(일부 모자이크 처리)으로 연결을 유도합니다.

사용자 삽입 이미지

연결이 이루어지다면 다음과 같은 링크(일부 제거)가 추가로 작동되고, 자바 취약점 파일이 실행됩니다.

사용자 삽입 이미지

showtopic 관련 html 파일 진단 현황 (실제 JAVA 코드가 포함되어 있음)

http://www.virustotal.com/file-scan/report.html?id=bb815bcf0d383affd9eb65c55e084981c429b12b3a984d9dbf6e048a292501d3-1282118580

Antivirus Version Last Update Result
AhnLab-V3 2010.08.18.00 2010.08.17 -
AntiVir 8.2.4.34 2010.08.17 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.18 -
Avast 4.8.1351.0 2010.08.17 -
Avast5 5.0.332.0 2010.08.17 -
AVG 9.0.0.851 2010.08.17 -
BitDefender 7.2 2010.08.18 -
CAT-QuickHeal 11.00 2010.08.18 -
ClamAV 0.96.2.0-git 2010.08.18 -
Comodo 5781 2010.08.18 -
DrWeb 5.0.2.03300 2010.08.18 -
Emsisoft 5.0.0.39 2010.08.18 -
eSafe 7.0.17.0 2010.08.17 -
eTrust-Vet 36.1.7798 2010.08.18 -
F-Prot 4.6.1.107 2010.08.18 -
F-Secure 9.0.15370.0 2010.08.18 -
Fortinet 4.1.143.0 2010.08.16 -
GData 21 2010.08.18 -
Ikarus T3.1.1.88.0 2010.08.18 -
Jiangmin 13.0.900 2010.08.18 -
Kaspersky 7.0.0.125 2010.08.18 -
McAfee 5.400.0.1158 2010.08.18 -
Microsoft 1.6004 2010.08.18 -
NOD32 5374 2010.08.17 -
Norman 6.05.11 2010.08.17 -
nProtect 2010-08-18.01 2010.08.18 -
Panda 10.0.2.7 2010.08.17 -
PCTools 7.0.3.5 2010.08.18 -
Prevx 3.0 2010.08.18 -
Rising 22.61.02.01 2010.08.18 -
Sophos 4.56.0 2010.08.18 -
Sunbelt 6751 2010.08.18 -
SUPERAntiSpyware 4.40.0.1006 2010.08.18 -
Symantec 20101.1.1.7 2010.08.18 -
TheHacker 6.5.2.1.350 2010.08.18 -
TrendMicro 9.120.0.1004 2010.08.18 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.18 -
VBA32 3.12.14.0 2010.08.17 -
ViRobot 2010.8.16.3990 2010.08.18 -
VirusBuster 5.0.27.0 2010.08.17 -

js.php 파일

http://www.virustotal.com/file-scan/report.html?id=79247ae54b52f7acf67157516e45ca555318ed8b427108f0a70ab09bfc0d53c6-1281566841

Antivirus Version Last Update Result
AhnLab-V3 2010.08.12.00 2010.08.11 -
AntiVir 8.2.4.34 2010.08.11 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.11 -
Avast 4.8.1351.0 2010.08.11 -
Avast5 5.0.332.0 2010.08.11 -
AVG 9.0.0.851 2010.08.11 -
BitDefender 7.2 2010.08.11 -
CAT-QuickHeal 11.00 2010.08.11 -
ClamAV 0.96.0.3-git 2010.08.11 -
Comodo 5714 2010.08.11 -
DrWeb 5.0.2.03300 2010.08.11 -
Emsisoft 5.0.0.37 2010.08.11 -
eSafe 7.0.17.0 2010.08.11 -
eTrust-Vet 36.1.7781 2010.08.11 -
F-Prot 4.6.1.107 2010.08.11 JS/Crypted.ID.gen
F-Secure 9.0.15370.0 2010.08.11 -
Fortinet 4.1.143.0 2010.08.11 -
GData 21 2010.08.12 -
Ikarus T3.1.1.88.0 2010.08.11 -
Jiangmin 13.0.900 2010.08.10 -
Kaspersky 7.0.0.125 2010.08.11 -
McAfee 5.400.0.1158 2010.08.12 -
McAfee-GW-Edition 2010.1 2010.08.12 -
Microsoft 1.6004 2010.08.12 -
NOD32 5358 2010.08.11 JS/Kryptik.L.Gen
Norman 6.05.11 2010.08.11 -
nProtect 2010-08-11.02 2010.08.11 -
Panda 10.0.2.7 2010.08.11 -
PCTools 7.0.3.5 2010.08.11 -
Prevx 3.0 2010.08.12 -
Rising 22.60.02.04 2010.08.11 -
Sophos 4.56.0 2010.08.12 -
Sunbelt 6719 2010.08.11 -
SUPERAntiSpyware 4.40.0.1006 2010.08.11 -
Symantec 20101.1.1.7 2010.08.11 -
TheHacker 6.5.2.1.343 2010.08.11 -
TrendMicro 9.120.0.1004 2010.08.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.12 -
VBA32 3.12.14.0 2010.08.11 -
ViRobot 2010.8.9.3978 2010.08.11 -
VirusBuster 5.0.27.0 2010.08.11 -


이후에 JAVA 취약점 파일 실행과 관련된 윈도우 창이 나타납니다.

사용자 삽입 이미지

상기 화면에서 연결되는 html 코드에는 JAVA Applet 코드가 포함되어 있으며, exe.php 파일에 의해서 다음과 같이 EXE 형식의 악성코드가 포함되어 있는 것을 확인하였습니다.

사용자 삽입 이미지

특이하게도 해당 링크는 한번 연결이 된 이후에는 재연결이 정상적으로 작동하지 않도록 되어 있고, 그에 따라 분석가의 확인하는데 매우 어려운 부분이 존재하게 됩니다.

다운로드되는 실제 EXE 파일은 아래와 같고, 외산 허위 Anti-Virus 제품류 입니다. (Fake AV)

사용자 삽입 이미지

또한, js.php 로 연결되는데, 이 파일에는 Base64 코드가 포함되어 있습니다.

사용자 삽입 이미지


현재 이러한 html 첨부파일 형식의 이메일 등이 JAVA 취약점이나 PDF 취약점을 통해서 지속적으로 악성코드를 유포하고 있습니다.

각별한 주의가 필요하겠습니다.

자바 애플릿 취약점 추가 정보
Unruy downloader uses CVE-2010-0094 Java vulnerability
http://blogs.technet.com/b/mmpc/archive/2010/08/17/unruy-downloader-uses-cve-2010-0094-java-vulnerability.aspx


더불어 아래와 같은 형태도 유포되고 있으며, EXE 나 ZIP 파일을 직접 첨부한 형태도 발견되고 있습니다.

 

Posted by viruslab
신종악성코드정보2010.08.18 09:20


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046

html 파일 형태로 첨부되어 악성코드 이메일이 지속적으로 유포되고 있습니다.

악성코드 유포자는 이 방식을 통해서 허위(가짜) 백신 등을 함께 배포하기도 하며, 비아그라 등 특정 제품 광고를 통해서 수익 모델을 창출하고 있는 상태입니다.

2010년 08월 18일 다음과 같은 형태가 추가로 국내에 유입되어 전파되고 있으며, 메일 제목과 본문 등이 다른 형태가 다수 발견되고 있습니다.

제목 :
Good music

내용 :
It has a beat, you can dance to it - I'd give it an eight.

<<Second chord sounds in world's longest lasting concert - Yahoo! News>>


************************************************************************
This e-mail and any of its attachments may contain Exelon Corporation
proprietary information, which is privileged, confidential, or subject
to copyright belonging to the Exelon Corporation family of Companies.
This e-mail is intended solely for the use of the individual or entity
to which it is addressed. If you are not the intended recipient of this
e-mail, you are hereby notified that any dissemination, distribution,
copying, or action taken in relation to the contents of and attachments
to this e-mail is strictly prohibited and may be unlawful. If you have
received this e-mail in error, please notify the sender immediately and
permanently delete the original and any copy of this e-mail and any
printout. Thank You.
************************************************************************

첨부파일 :
Second chord sounds in world's longest lasting concert - Yahoo! News.html



첨부파일이 실행되면 다음과 같이 특정 Applet10.html 취약점 파일이 실행되면서 악성코드에 감염될 수 있으며, 특정 러시아 사이트 등으로 접속이 되면서 또 다른 Exploit Code 등에 노출될 가능성이 높습니다.


자바 애플릿 취약점 추가 정보
Unruy downloader uses CVE-2010-0094 Java vulnerability
http://blogs.technet.com/b/mmpc/archive/2010/08/17/unruy-downloader-uses-cve-2010-0094-java-vulnerability.aspx

Posted by viruslab
보안관련소식2010.08.14 15:51


사용자 삽입 이미지


사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

안드로이드용 악성코드 진단한 화면

안드로이드용 악성코드 등장과 관련된 뉴스 클리핑 보기
http://viruslab.tistory.com/2041





Posted by viruslab
신종악성코드정보2010.08.13 13:01


새로운 악성코드를 포함한 이메일이 추가로 국내에 유입된 것이 확인되었습니다.

아래와 같은 내용의 영문 이메일을 수신하실 경우 첨부파일을 받지 마시고, 즉시 삭제하시는 것이 안전하겠습니다.

제목 :
Your reservation is confirmed - Ref: 46397/900632

내용 :
Hello,

Thank you for making a booking through Allhotels

This voucher confirms that you have paid $ 1,100.00 as a deposit for the cost of the rooms and services detailed below. The guest must present this voucher, along with photo identification matching the guest name on this voucher, to the hotel on check-in.

The hotel will also ask for a valid credit card on check-in. This is to cover incidental expenses like meals, drinks, laundry, etc. Guests are responsible for payment of all extra charges direct to the hotel.

Please find the details in the attachment.

첨부파일 :
Allhotels.zip



사용자 삽입 이미지

"Allhotels.zip" 압축 파일 내부에는 "Allhotels.exe" 라는 이름의 악성코드 파일이 포함되어 있습니다.

해당 악성코드는 nProtect Anti-Virus 2010년 8월 13일자 제품에서 치료가 가능합니다.

사용자 삽입 이미지




Posted by viruslab
신종악성코드정보2010.08.12 15:40


DHL 배송 관련 내용으로 위장한 악성코드 이메일이 조금 전 국내에 유입된 것이 발견되었습니다.

아래 내용 참고하시어 감염되시지 않도록 주의하시면 좋겠습니다.

제목 :
DHL Delivery. Parcel Number 0062

내용 :
Dear customer.

We were not able to deliver your package to your address!

Reason:" Error in delivery address "
You can  get your parcel in your local post office.
Scheduled Delivery: 04-07-2010

Attention!
The post label is attached to this e-mail.
We kindly ask you to print it and take it to the post office to pick up the package.

Thank you!

첨부파일 :
Print_label_ID147a.zip



사용자 삽입 이미지

이메일에 "Print_label_ID147a.zip" 파일이 첨부되어 있고 "Print_label_ID147a.exe" 라는 악성코드가 포함되어 있습니다.

사용자 삽입 이미지


해당 악성코드는 바이러스 토탈에서 다음과 같이 진단되고 있으며, nProtect Anti-Virus 2010년 8월 12일자에 치료 기능이 추가됩니다.

http://www.virustotal.com/file-scan/report.html?id=dda72c35f7cf889cca8e0eeb4b3ce22ee8fbe242f788d99ff10b9ba03c89e3fa-1281579544

Antivirus Version Last Update Result
AhnLab-V3 2010.08.12.00 2010.08.11 -
AntiVir 8.2.4.34 2010.08.11 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.11 -
Avast 4.8.1351.0 2010.08.11 -
Avast5 5.0.332.0 2010.08.11 -
AVG 9.0.0.851 2010.08.11 -
BitDefender 7.2 2010.08.12 -
CAT-QuickHeal 11.00 2010.08.11 (Suspicious) - DNAScan
ClamAV 0.96.0.3-git 2010.08.11 -
Comodo 5714 2010.08.11 -
DrWeb 5.0.2.03300 2010.08.12 -
Emsisoft 5.0.0.37 2010.08.11 -
eTrust-Vet 36.1.7781 2010.08.11 -
F-Prot 4.6.1.107 2010.08.12 -
F-Secure 9.0.15370.0 2010.08.12 Suspicious:W32/Malware!Gemini
Fortinet 4.1.143.0 2010.08.11 -
GData 21 2010.08.12 -
Ikarus T3.1.1.88.0 2010.08.11 -
Jiangmin 13.0.900 2010.08.10 -
McAfee 5.400.0.1158 2010.08.12 -
McAfee-GW-Edition 2010.1 2010.08.12 -
Microsoft 1.6004 2010.08.12 -
NOD32 5358 2010.08.11 -
Norman 6.05.11 2010.08.11 -
nProtect 2010-08-11.02 2010.08.11 -
Panda 10.0.2.7 2010.08.11 Suspicious file
PCTools 7.0.3.5 2010.08.12 -
Prevx 3.0 2010.08.12 -
Rising 22.60.02.04 2010.08.11 -
Sophos 4.56.0 2010.08.12 Mal/EncPk-AX
Sunbelt 6720 2010.08.12 -
SUPERAntiSpyware 4.40.0.1006 2010.08.11 -
Symantec 20101.1.1.7 2010.08.11 -
TheHacker 6.5.2.1.343 2010.08.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.12 -
VBA32 3.12.14.0 2010.08.11 -
ViRobot 2010.8.9.3978 2010.08.11 -
VirusBuster 5.0.27.0 2010.08.11 -




Posted by viruslab
신종악성코드정보2010.08.12 09:24


자동차 대출(Car loan) 관련 내용으로 위장한 악성코드 이메일이 국내에 유입된 것이 확인되고 있습니다.

아래 내용을 참고하시어 악성코드에 감염되시지 않도록 주의하시는 것이 좋겠습니다.

제목 :
FW: Car & Car loan

내용 :
Think Green! Please consider the impact on the environment before printing this e-mail.
**********************************************************************
This email and any files transmitted with it are confidential and
intended solely for the use of the individual or entity to whom they
are addressed. If you have received this email in error please notify
the system manager.

This footnote also confirms that this email message has been swept by
MIMEsweeper for the presence of computer viruses.

Cetrulo & Capone, LLP. Boston MA
**********************************************************************

첨부파일 :
Car loan.zip



사용자 삽입 이미지

첨부되어 있는 "Car loan.zip" 파일 내부에는 "Car loan.exe" 라는 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

"Car loan.exe" 악성파일의 바이러스 토탈 진단 현황이며, nProtect Anti-Virus 8월 12일자 최신 패턴에 치료 기능이 포함될 예정입니다.

http://www.virustotal.com/file-scan/report.html?id=7f014307d6cf444ca2834d17d786e966a45e78f63753255dc6cb48936badc105-1281565959

Antivirus Version Last Update Result
AhnLab-V3 2010.08.11.02 2010.08.11 -
AntiVir 8.2.4.34 2010.08.11 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.11 -
Avast 4.8.1351.0 2010.08.11 -
Avast5 5.0.332.0 2010.08.11 -
AVG 9.0.0.851 2010.08.11 -
BitDefender 7.2 2010.08.11 -
CAT-QuickHeal 11.00 2010.08.11 -
ClamAV 0.96.0.3-git 2010.08.11 -
Comodo 5713 2010.08.11 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.08.11 -
Emsisoft 5.0.0.37 2010.08.11 -
eSafe 7.0.17.0 2010.08.11 -
eTrust-Vet 36.1.7781 2010.08.11 -
F-Prot 4.6.1.107 2010.08.11 -
F-Secure 9.0.15370.0 2010.08.11 Suspicious:W32/Malware!Gemini
Fortinet 4.1.143.0 2010.08.11 -
GData 21 2010.08.11 -
Ikarus T3.1.1.88.0 2010.08.11 -
Jiangmin 13.0.900 2010.08.10 -
Kaspersky 7.0.0.125 2010.08.11 -
McAfee 5.400.0.1158 2010.08.11 -
McAfee-GW-Edition 2010.1 2010.08.11 -
Microsoft 1.6004 2010.08.11 -
NOD32 5358 2010.08.11 -
Norman 6.05.11 2010.08.11 -
nProtect 2010-08-11.02 2010.08.11 -
Panda 10.0.2.7 2010.08.11 -
PCTools 7.0.3.5 2010.08.11 -
Rising 22.60.02.04 2010.08.11 -
Sophos 4.56.0 2010.08.11 -
Sunbelt 6719 2010.08.11 FraudTool.Win32.AVSoft (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.11 -
Symantec 20101.1.1.7 2010.08.11 -
TheHacker 6.5.2.1.343 2010.08.11 -
TrendMicro 9.120.0.1004 2010.08.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.11 -
VBA32 3.12.14.0 2010.08.11 Malware-Cryptor.Win32.Limpopo
ViRobot 2010.8.9.3978 2010.08.11 -
VirusBuster 5.0.27.0 2010.08.11 -








Posted by viruslab
신종악성코드정보2010.08.11 08:48



트랜드 마이크로에서도 최초의 안드로이드용 트로이목마에 대한 포스팅이 올라왔습니다.

해외에서는 블랙햇에서 공개되었던 월페이퍼 관련 어플을 시만텍을 제외한 대부분의 업체가 악성으로 분류하고 있지 않는 분위기 입니다.-> http://viruslab.tistory.com/2003

http://blog.trendmicro.com/first-android-trojan-in-the-wild/

트랜드 마이크로에서는 TROJ_DROIDSMS.A 라는 진단명으로 우선 윈도우 패턴에 등록되는 듯 싶습니다.

스마트폰용 제품 탑재 여부는 확인을 해봐야 겠습니다.

바이러스 토탈에서도 진단하는 업체가 하나씩 증가하고 있습니다.

http://www.virustotal.com/file-scan/report.html?id=14ebc4e9c7c297f3742c41213938ee01fd198dd4f4a5f188bbbb6ffcf4db5f14-1281468088

Antivirus Version Last Update Result
AhnLab-V3 2010.08.10.01 2010.08.10 -
AntiVir 8.2.4.34 2010.08.10 TR/SMS.AndroidOS.A
Antiy-AVL 2.0.3.7 2010.08.10 -
Authentium 5.2.0.5 2010.08.10 -
Avast 4.8.1351.0 2010.08.10 -
Avast5 5.0.332.0 2010.08.10 -
AVG 9.0.0.851 2010.08.10 -
BitDefender 7.2 2010.08.10 -
CAT-QuickHeal 11.00 2010.08.10 -
ClamAV 0.96.0.3-git 2010.08.10 -
Comodo 5706 2010.08.10 -
DrWeb 5.0.2.03300 2010.08.10 Android.SmsSend.1
Emsisoft 5.0.0.37 2010.08.10 -
eSafe 7.0.17.0 2010.08.09 -
eTrust-Vet 36.1.7779 2010.08.10 -
F-Prot 4.6.1.107 2010.08.10 -
F-Secure 9.0.15370.0 2010.08.10 Trojan:Android/Fakeplayer.A
Fortinet 4.1.143.0 2010.08.10 -
GData 21 2010.08.10 -
Ikarus T3.1.1.87.0 2010.08.10 -
Jiangmin 13.0.900 2010.08.10 -
Kaspersky 7.0.0.125 2010.08.10 Trojan-SMS.AndroidOS.FakePlayer.a
McAfee 5.400.0.1158 2010.08.10 -
McAfee-GW-Edition 2010.1 2010.08.10 -
Microsoft 1.6004 2010.08.10 -
NOD32 5355 2010.08.10 -
Norman 6.05.11 2010.08.10 -
nProtect 2010-08-10.01 2010.08.10 -
Panda 10.0.2.7 2010.08.10 -
PCTools 7.0.3.5 2010.08.10 -
Rising 22.60.01.04 2010.08.10 -
Sophos 4.56.0 2010.08.10 -
Sunbelt 6712 2010.08.10 -
SUPERAntiSpyware 4.40.0.1006 2010.08.10 -
Symantec 20101.1.1.7 2010.08.10 -
TheHacker 6.5.2.1.341 2010.08.10 -
TrendMicro 9.120.0.1004 2010.08.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.10 -
VBA32 3.12.12.8 2010.08.10 Android.SmsSend.1
ViRobot 2010.8.9.3978 2010.08.10 -
VirusBuster 5.0.27.0 2010.08.10 -
Additional information
 
MD5   : fdb84ff8125b3790011b83cc85adce16


사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

http://www.sophos.com/blogs/gc/g/2010/08/10/bbc-writes-smartphone-spyware/




 

Posted by viruslab
신종악성코드정보2010.08.10 11:21


아래와 같은 형식의 이메일 내용을 가지고 있는 악성코드 메일이 국내에 유입된 것이 확인되었습니다.

이러한 유사 메일을 수신하실 경우 절대 첨부파일을 실행하지 마시고, 메일 자체를 삭제하시는 것이 안전하겠습니다.

악성코드를 포함하고 있는 이메일 형식은 아래와 같습니다.

제목 :
Tax Exemption Spreadsheet

내용 :
Hello, based on the drafts you sent me, please go ahead and use the attached spreadsheet for tax exemption guests.

Thanks for everything!

Ryan Nash, Front Office Manager

첨부파일 :
TAX EXEMPTIONS.zip



사용자 삽입 이미지

첨부되어 있는 "TAX EXEMPTIONS.zip" 파일이 바로 악성코드 이며, 압축 파일 내부에는 "TAX EXEMPTIONS.exe" 실행파일형 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

악성코드의 바이러스 토탈(http://www.virustotal.com/) 진단 현황은 아래와 같고, nProtect Anti-Virus 에는 금일자에 치료 기능이 추가될 예정입니다.

http://www.virustotal.com/analisis/1933c812ed42dafbfac954b6b5417f641635e67ad4a9586e870bfb1b4bf30414-1281399509

Antivirus Version Last Update Result
AhnLab-V3 2010.08.10.00 2010.08.09 -
AntiVir 8.2.4.34 2010.08.09 -
Antiy-AVL 2.0.3.7 2010.08.09 -
Authentium 5.2.0.5 2010.08.09 W32/Trojan3.BXG
Avast 4.8.1351.0 2010.08.09 -
Avast5 5.0.332.0 2010.08.09 -
AVG 9.0.0.851 2010.08.09 -
BitDefender 7.2 2010.08.10 -
CAT-QuickHeal 11.00 2010.08.09 -
ClamAV 0.96.0.3-git 2010.08.09 -
Comodo 5700 2010.08.10 Heur.Suspicious
DrWeb 5.0.2.03300 2010.08.10 Trojan.PWS.Panda.387
Emsisoft 5.0.0.36 2010.08.09 Win32.Outbreak!IK
eSafe 7.0.17.0 2010.08.09 -
eTrust-Vet 36.1.7778 2010.08.09 -
F-Prot 4.6.1.107 2010.08.09 W32/Trojan3.BXG
F-Secure 9.0.15370.0 2010.08.10 Trojan-Downloader:W32/Agent.DKGL
Fortinet 4.1.143.0 2010.08.09 -
GData 21 2010.08.10 -
Ikarus T3.1.1.87.0 2010.08.09 Win32.Outbreak
Jiangmin 13.0.900 2010.08.07 -
Kaspersky 7.0.0.125 2010.08.09 -
McAfee 5.400.0.1158 2010.08.10 Bredolab.gen.c
McAfee-GW-Edition 2010.1 2010.08.09 -
Microsoft 1.6004 2010.08.09 -
NOD32 5353 2010.08.09 a variant of Win32/Kryptik.FXQ
Norman 6.05.11 2010.08.09 -
nProtect 2010-08-09.02 2010.08.09 -
Panda 10.0.2.7 2010.08.09 -
PCTools 7.0.3.5 2010.08.09 -
Prevx 3.0 2010.08.10 Medium Risk Malware
Rising 22.60.00.04 2010.08.09 -
Sophos 4.56.0 2010.08.09 Mal/Qbot-B
Sunbelt 6709 2010.08.10 FraudTool.Win32.AVSoft (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.10 -
Symantec 20101.1.1.7 2010.08.09 -
TheHacker 6.5.2.1.341 2010.08.10 -
TrendMicro 9.120.0.1004 2010.08.09 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.08.10 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.8.9.3978 2010.08.09 -
VirusBuster 5.0.27.0 2010.08.09 -
Additional information
File size: 145920 bytes
MD5   : e42cb7c09c4b27da44161ac692afe90c


동일한 악성코드를 포함하였지만, 다른 내용으로도 전파되고 있습니다.

제목 :
Morgan Hunt Brochure

내용 :
Dear 수신자계정
 

Following your conversation with my colleague Janie, please find attached our brochure for you interest.


We look forward to hearing from you.

Kind regards

MauraJuliet

첨부파일:
Morgan Hunt.zip



제목 :
Meeting yesterday

내용 :
Thank you for the chat yesterday, it really helped me get a clearer idea of recruitment as well as exploring any potential opportunity. I have just spotted a mistake on the CV I sent  in which my email was incorrect. Apologies for any inconvenience caused if you have already sent me any information on anything we discussed. Attached is an updated CV with the correct email.

첨부파일 :
cv JULY '10 FINALs.zip




Posted by viruslab
보안관련소식2010.08.10 10:02


그동안 허위 디지털 서명을 가지고 있는 악성코드는 매우 다양하게 존재하였지만 Stuxnet 악성파일은 실제 디지털 서명을 가진 악성코드로 논란이 되고 있지요.

Anti-Virus 업체들은 정식 디지털 서명이 있는 파일은 악성코드가 아닐 것이다라는 것을 하나의 평판(reputation) 시스템에 적용하기도 하였지만, 앞으로는 많은 생각을 해야 할 부분이 아니겠나 싶습니다.


Malicious software using valid digital signatures is something that our Jarno Niemelä recently predicted in his Caro 2010 Workshop presentation: It's Signed, therefore it's Clean, right?
 
Stuxnet 악성코드는 Lnk 취약점을 통해서 유포되었던 대표적인 악성코드의 이름입니다.

악성코드의 디지털 서명은 다음과 같습니다.

Realtek Semiconductor Corp 이름의 서명자를 가지고 있는 악성코드입니다.

http://www.virustotal.com/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198-1281038695
사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

다음으로 JMicron Technology Corp 서명자를 가지고 있는 악성코드 입니다.

JMicro 인증서는 악성코드에 의해서 악용되는게 알려지면서 현재는 인증기관에 의해서 인증서가 해지된 것으로 보여집니다.

http://www.virustotal.com/analisis/63e6b8136058d7a06dfff4034b4ab17a261cdf398e63868a601f77ddd1b32802-1280959026

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지


악성코드가 이처럼 정식 디지털 서명을 악용하지 못하게 하기 위해선 관계자들은 전자서명 파일이 외부로 유출되지 않도록 관리를 잘 해야 겠지요?



Posted by viruslab
신종악성코드정보2010.08.09 14:13


메일 본문에 다수의 허위 링크 주소를 통해서 잠재적으로 보안 위협이 존재하는 악성 URL 주소를 클릭하도록 만드는 영문 쇼핑 주문 메일 등이 다수 목격되고 있습니다.

아래와 같이 교묘하게 사진과 웹 사이트 내용을 사용하며, 본문에 포함되어 있는 다수의 URL 링크를 통해서 또 다른 사이트로 연결을 시도하도록 만듭니다.

이러한 메일을 받으실 경우 링크 클릭시 각별히 주의하셔야 겠습니다.

사용자 삽입 이미지


사용자 삽입 이미지

발견된 2개의 사례는 모두 특정 도메인의 x.html 파일로 연결을 시도하지만 변형이 다수 존재할 수 있습니다.

아래는 html 파일을 첨부하여 또 다른 사이트로 연결을 시도한 형태입니다.

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973

Posted by viruslab
신종악성코드정보2010.08.09 11:16


아이폰용 악성코드로 추가한 것이 특징적이네요.
nProtect Anti-Virus 패턴에는 모두 치료 기능을 추가한 상태입니다.


관련 정보 보기
http://viruslab.tistory.com/2011
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPIDIEF%2EHLA&VSect=T

바이러스 토탈 진단 형황이며, 마이크로 소프트사 등 일부 Anti-Virus 진단명으로 iPhoneOS 를 사용하고 있습니다.

http://www.virustotal.com/analisis/d555cf934731d26c724eeca6faf7ee332622f3213b7c10b4aa32e009c4a98b84-1281170470

Antivirus Version Last Update Result
AhnLab-V3 2010.08.07.00 2010.08.06 -
AntiVir 8.2.4.34 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.07 -
Avast 4.8.1351.0 2010.08.06 -
Avast5 5.0.332.0 2010.08.06 -
AVG 9.0.0.851 2010.08.06 Exploit_c.HQR
BitDefender 7.2 2010.08.07 -
CAT-QuickHeal 11.00 2010.08.07 -
ClamAV 0.96.0.3-git 2010.08.07 -
Comodo 5671 2010.08.06 -
DrWeb 5.0.2.03300 2010.08.07 -
Emsisoft 5.0.0.36 2010.08.07 Exploit.iPhoneOS!IK
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7773 2010.08.07 -
F-Prot 4.6.1.107 2010.08.07 -
F-Secure 9.0.15370.0 2010.08.07 Exploit:W32/Pidief.CRK
Fortinet 4.1.143.0 2010.08.07 -
GData 21 2010.08.07 -
Ikarus T3.1.1.84.0 2010.08.07 Exploit.iPhoneOS
Jiangmin 13.0.900 2010.08.07 -
Kaspersky 7.0.0.125 2010.08.07 -
McAfee 5.400.0.1158 2010.08.07 Exploit-PDF.pr.gen
McAfee-GW-Edition 2010.1 2010.08.06 -
Microsoft 1.6004 2010.08.07 Exploit:iPhoneOS/Pidief.A
NOD32 5348 2010.08.06 PDF/Exploit.Pidief.OYC
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 Trojan-Exploit/W32.Pidief.13288.GC
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.07 -
Prevx 3.0 2010.08.07 -
Rising 22.59.05.03 2010.08.07 -
Sophos 4.56.0 2010.08.07 Troj/PDFEx-DT
Sunbelt 6698 2010.08.07 -
SUPERAntiSpyware 4.40.0.1006 2010.08.07 -
Symantec 20101.1.1.7 2010.08.07 -
TheHacker 6.5.2.1.335 2010.08.07 -
TrendMicro 9.120.0.1004 2010.08.07 TROJ_PIDIEF.HLA
TrendMicro-HouseCall 9.120.0.1004 2010.08.07 TROJ_PIDIEF.HLA
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.07 -
VirusBuster 5.0.27.0 2010.08.06 -
Additional information
File size: 13288 bytes
MD5   : a8c01f533f5222714b69c0cfe153dd1c

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.08.09 10:35


페이스북 발송 위장 악성코드 첨부파일 형태 내용 보기
facebook 에서 발송한 것으로 위장한 악성코드 정보
viruslab.tistory.com


마치 페이스북(Facebook)에서 발송한 메시지 내용처럼 위장한 유해 가능 이메일이 국내에 유입되었습니다.

악성코드 파일이 첨부되어 있는 형태는 아니며, 본문에 포함되어 있는 다수의 URL 링크를 클릭하면 Facebook 이 아닌 또 다른 악성코드 유포 시도 도메인으로 연결을 시도합니다.

아래 내용 참고하시고, 이러한 메일을 수신하실 경우 각별히 조심하시는 것이 좋겠습니다.

보통 이러한 형태의 Spam E-Mail 은 또 다른 악성코드를 추가적으로 설치하거나, 사용자 정보 유출(계정, 암호 등) 시도 등을 하게 됩니다.

제목 :
You have notifications pending

내용 :

facebook 
Hi,
You haven't been back to Facebook recently. You have received notifications while you were gone.
 
4 messages 

Thanks,
The Facebook Team Sign in to Facebook and start connecting
Sign In
 
To login to Facebook, follow the link below:
http://www.facebook.com/n/?find-friends%2F&mid=069f1f48b3e664422ad70cc73c0181&bcode=wtKxK&n_m=(수신자 주소).co.kr
 
This message was intended for (수신자 계정).co.kr. If you do not wish to receive this type of email from Facebook in the future, please click here to unsubscribe.
Facebook, Inc. P.O. Box 10005, Palo Alto, CA 94303


사용자 삽입 이미지




Posted by viruslab
신종악성코드정보2010.08.09 10:19


기존에 "Solve this if you could...!!!!" 제목의 이메일, BatchMaster 회사 메일, 프랑스 여객기 추락 사진 메일, 청첩장 초대 메일, 이력서 내용 등으로 위장한 악성코드 이메일과 동일한 악성코드를 유포 하고 있습니다.

"Solve this if you could...!!!!" - http://viruslab.tistory.com/2027
Homax Docs 제목 위장 - http://viruslab.tistory.com/2026
프랑스 여객기 추락 사진 위장 - http://viruslab.tistory.com/2025
청첩장 초대 메일 위장 - http://viruslab.tistory.com/2024
이력서 내용 메일 위장 - http://viruslab.tistory.com/2023

추가로 발견된 형태는 "SIGN BOARDS" 라는 제목을 가지고 있으며, 사진 파일처럼 위장한 pic29807.zip 파일을 포함하고 있습니다.

제목 :
SIGN BOARDS

내용 :
HI

Please go through all the pics. you will enjoy

Elizabeth

첨부파일 :
pic29807.zip



사용자 삽입 이미지

"pic29807.zip" 첨부파일 내부에는 "pic29807.exe" 라는 악성코드 파일이 포함되어 있습니다.

사용자 삽입 이미지

바이러스 토탈 진단 현황이며, 기존 파일과 동일합니다.

http://www.virustotal.com/analisis/23668991c3905663660ff4131f4774c3e7cf7e6814a5f8e018203ae10f6c75e6-1281303594

Antivirus Version Last Update Result
AhnLab-V3 2010.08.08.00 2010.08.07 Downloader/Win32.Agent
AntiVir 8.2.4.34 2010.08.08 TR/Dldr.Agent.eesv
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.08 W32/Trojan3.BXE
Avast 4.8.1351.0 2010.08.08 Win32:Oficla-X
Avast5 5.0.332.0 2010.08.08 Win32:Oficla-X
AVG 9.0.0.851 2010.08.08 Cryptic.ATL
BitDefender 7.2 2010.08.08 Trojan.Oficla.AA
CAT-QuickHeal 11.00 2010.08.07 -
ClamAV 0.96.0.3-git 2010.08.08 Trojan.Bredolab-988
Comodo 5688 2010.08.08 -
DrWeb 5.0.2.03300 2010.08.08 Trojan.DownLoad2.14991
Emsisoft 5.0.0.36 2010.08.08 Trojan-Dropper.Agent!IK
eSafe 7.0.17.0 2010.08.08 -
eTrust-Vet 36.1.7773 2010.08.07 -
F-Prot 4.6.1.107 2010.08.08 W32/Trojan3.BXE
F-Secure 9.0.15370.0 2010.08.07 Trojan.Oficla.AA
Fortinet 4.1.143.0 2010.08.08 -
GData 21 2010.08.08 Trojan.Oficla.AA
Ikarus T3.1.1.84.0 2010.08.08 Trojan-Dropper.Agent
Jiangmin 13.0.900 2010.08.07 -
Kaspersky 7.0.0.125 2010.08.08 Trojan-Downloader.Win32.Agent.eesv
McAfee 5.400.0.1158 2010.08.08 Bredolab.gen.c
McAfee-GW-Edition 2010.1 2010.08.08 Artemis!CF0A2F0A1DFC
Microsoft 1.6004 2010.08.08 -
NOD32 5349 2010.08.07 -
Norman 6.05.11 2010.08.08 W32/Bredolab.B!genr
nProtect 2010-08-08.01 2010.08.08 Trojan.Oficla.AA
Panda 10.0.2.7 2010.08.08 Trj/CI.A
PCTools 7.0.3.5 2010.08.08 Downloader.MisleadApp
Prevx 3.0 2010.08.08 -
Rising 22.59.05.04 2010.08.07 -
Sophos 4.56.0 2010.08.08 Troj/Mdrop-CST
Sunbelt 6703 2010.08.08 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.08.08 -
Symantec 20101.1.1.7 2010.08.08 Downloader.MisleadApp
TheHacker 6.5.2.1.338 2010.08.08 -
TrendMicro 9.120.0.1004 2010.08.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.08 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.08 -
VirusBuster 5.0.27.0 2010.08.08 Trojan.Agent.YHJN
Additional information
File size: 20992 bytes
MD5   : cf0a2f0a1dfca7bed24dac419e46fe64


Posted by viruslab
신종악성코드정보2010.08.09 10:09


기존에 BatchMaster 회사 메일, 프랑스 여객기 추락 사진 메일, 청첩장 초대 메일, 이력서 내용 등으로 위장한 악성코드 이메일과 동일한 악성코드를 유포 하고 있습니다.

Homax Docs 제목 위장 - http://viruslab.tistory.com/2026
프랑스 여객기 추락 사진 위장 - http://viruslab.tistory.com/2025
청첩장 초대 메일 위장 - http://viruslab.tistory.com/2024
이력서 내용 메일 위장 - http://viruslab.tistory.com/2023

추가로 발견된 형태는 "Solve this if you could...!!!!" 라는 제목을 가지고 있으며, CSC, India (Indore) 라는 내용을 포함하고 있습니다.

현재 매우 다양한 형태가 발견되고 있으므로, 영문으로 작성된 이메일이나 ZIP 파일을 첨부한 형태, 또는 html 파일 형태를 포함한 방식의 이메일을 열람시 각별히 조심하시는 것이 좋겠습니다.

제목 :
Solve this if you could...!!!!

내용 :
Hi,


For all Math's champs, Accounting Experts & Number Numbssss...
(including future champs too)


Find the 6th Number


1, 2, 6, 42, 1806, ____?


6th number is the password of the attachment.


If u could solve it.... add your Name in the attached file...& pass
on..to your friends & colleagues!!
You will find my name also in it ;)

Have solving...!!

Do reply me if you solve it, I will be happy to see your name in XLS sheet.


Thanks & Regards,

Olin Staton
Engineer - Application Development
CSC, India (Indore)

Contact me @ Solved.zipSolved.zipSolved.zipSolved.zipSolved.zip-Solved.zipSolved.zipSolved.zipSolved.zipSolved.zip

"Love The Heart That Hurts You, But Never Hurt The Heart That Loves You"
"I lik 2 walk in d rain as no 1 can c me crying"
"Live life to fullest coz u never know whats around the next corner"
"Everything happens for a reason. Nothing happens by chance or by means of luck .. "
"If you wanna un-subscribe to my mails then just send a blank mail with subject UN-SUBSCRIBE"


첨부파일 :
Solved.zip



사용자 삽입 이미지

아래와 같은 형태도 존재합니다.

제목 :
Software QA Engineer - 3+ Experience

내용 :
DEAR SIR\ MADAM,

I am confident that my combination of practical knowledge and solid
educational background will provide your office with a highly productive
employee.

I am working as a QA Engineer with* *PTC software (INDIA)Pvt Ltd. , PUNE**
with total work Ex
of *3 years*

I received *B.E (mechanical) in July'2006* from M.I.T Mandsaur (R.G.P.V.
BHOPAL) (M.P) with *First Class 70%*. I have well-developed written and oral
communication skills which will enable me to communicate with the other team
members and people outside the organization effectively.

I would welcome the opportunity to discuss my suitability for the position.
Please find the attached copy of my resume.
Thank You.

Sincerely
Rahul Bhoraskar – Software QA Engineer
PTC Softwares : Product Lifecycle Management (PLM) Software Solutions
*Mobile: 9766678612*

첨부파일 :
Rahul_Bhoraskar.zip




 "Solved.zip" 첨부파일 내부에는 Solved.exe 라는 이름의 악성코드 파일이 포함되어 있으며, 기존과 동일한 형태의 악성코드입니다.

사용자 삽입 이미지

http://www.virustotal.com/analisis/23668991c3905663660ff4131f4774c3e7cf7e6814a5f8e018203ae10f6c75e6-1281297804

Antivirus Version Last Update Result
AhnLab-V3 2010.08.08.00 2010.08.07 Downloader/Win32.Agent
AntiVir 8.2.4.34 2010.08.08 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.07 W32/Trojan3.BXE
Avast 4.8.1351.0 2010.08.08 Win32:Trojan-gen
Avast5 5.0.332.0 2010.08.08 Win32:Trojan-gen
AVG 9.0.0.851 2010.08.08 Cryptic.ATL
BitDefender 7.2 2010.08.08 Trojan.Oficla.AA
CAT-QuickHeal 11.00 2010.08.07 -
ClamAV 0.96.0.3-git 2010.08.08 Trojan.Bredolab-988
Comodo 5686 2010.08.08 -
DrWeb 5.0.2.03300 2010.08.08 Trojan.DownLoad2.14991
Emsisoft 5.0.0.36 2010.08.08 Trojan-Dropper.Agent!IK
eSafe 7.0.17.0 2010.08.08 -
eTrust-Vet 36.1.7773 2010.08.07 -
F-Prot 4.6.1.107 2010.08.07 W32/Trojan3.BXE
F-Secure 9.0.15370.0 2010.08.07 Trojan.Oficla.AA
Fortinet 4.1.143.0 2010.08.08 -
GData 21 2010.08.08 Trojan.Oficla.AA
Ikarus T3.1.1.84.0 2010.08.08 Trojan-Dropper.Agent
Jiangmin 13.0.900 2010.08.07 -
Kaspersky 7.0.0.125 2010.08.08 Trojan-Downloader.Win32.Agent.eesv
McAfee 5.400.0.1158 2010.08.08 Bredolab.gen.c
McAfee-GW-Edition 2010.1 2010.08.08 Artemis!CF0A2F0A1DFC
Microsoft 1.6004 2010.08.08 -
NOD32 5349 2010.08.07 -
Norman 6.05.11 2010.08.08 W32/Bredolab.B!genr
nProtect 2010-08-08.01 2010.08.08 Trojan.Oficla.AA
Panda 10.0.2.7 2010.08.08 Trj/CI.A
PCTools 7.0.3.5 2010.08.08 Downloader.MisleadApp
Prevx 3.0 2010.08.08 -
Rising 22.59.05.04 2010.08.07 -
Sophos 4.56.0 2010.08.08 Troj/Mdrop-CST
Sunbelt 6703 2010.08.08 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.08.08 -
Symantec 20101.1.1.7 2010.08.08 Downloader.MisleadApp
TheHacker 6.5.2.1.338 2010.08.08 -
TrendMicro 9.120.0.1004 2010.08.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.08 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.08 -
VirusBuster 5.0.27.0 2010.08.08 Trojan.Agent.YHJN
Additional information
File size: 20992 bytes
MD5   : cf0a2f0a1dfca7bed24dac419e46fe64




Posted by viruslab
신종악성코드정보2010.08.09 09:55


BatchMaster Software 회사에서 보낸 메일처럼 위장한 악성코드 이메일이 추가 발견되었습니다.

기존에 프랑스 여객기 추락 사진 메일, 청첩장 초대 메일, 이력서 내용 등으로 위장한 악성코드 이메일과 동일한 악성코드를 유포 하고 있습니다.

BatchMaster Software 회사는 ERP 등을 개발하는 미국 회사로 보여집니다. - http://www.batchmaster.com/


프랑스 여객기 추락 사진 위장 - http://viruslab.tistory.com/2025
청첩장 초대 메일 위장 - http://viruslab.tistory.com/2024
이력서 내용 메일 위장 - http://viruslab.tistory.com/2023

제목 :
Homax Docs

내용 :
Thanks and Regards
 
Candy Gifford
Implementation Consultant – BatchMaster Software, Inc.
Phone: (949) 583-1646 Ext 300 | Fax: (949) 266-0394 |

첨부파일 :
61178 61180 Black Flag Home Insect Control 79529-30.zip


사용자 삽입 이미지

 "61178 61180 Black Flag Home Insect Control 79529-30.zip" 첨부파일 내부에는 다음과 같이 EXE 실행파일 형태의 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

MD5 값이 cf0a2f0a1dfca7bed24dac419e46fe64 으로 기존과 동일한 악성코드가 다양한 이메일 형태로 국내외에 전파 중에 있습니다.

바이러스 토탈 진단 현황입니다.

http://www.virustotal.com/analisis/23668991c3905663660ff4131f4774c3e7cf7e6814a5f8e018203ae10f6c75e6-1281297804

Antivirus Version Last Update Result
AhnLab-V3 2010.08.08.00 2010.08.07 Downloader/Win32.Agent
AntiVir 8.2.4.34 2010.08.08 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.07 W32/Trojan3.BXE
Avast 4.8.1351.0 2010.08.08 Win32:Trojan-gen
Avast5 5.0.332.0 2010.08.08 Win32:Trojan-gen
AVG 9.0.0.851 2010.08.08 Cryptic.ATL
BitDefender 7.2 2010.08.08 Trojan.Oficla.AA
CAT-QuickHeal 11.00 2010.08.07 -
ClamAV 0.96.0.3-git 2010.08.08 Trojan.Bredolab-988
Comodo 5686 2010.08.08 -
DrWeb 5.0.2.03300 2010.08.08 Trojan.DownLoad2.14991
Emsisoft 5.0.0.36 2010.08.08 Trojan-Dropper.Agent!IK
eSafe 7.0.17.0 2010.08.08 -
eTrust-Vet 36.1.7773 2010.08.07 -
F-Prot 4.6.1.107 2010.08.07 W32/Trojan3.BXE
F-Secure 9.0.15370.0 2010.08.07 Trojan.Oficla.AA
Fortinet 4.1.143.0 2010.08.08 -
GData 21 2010.08.08 Trojan.Oficla.AA
Ikarus T3.1.1.84.0 2010.08.08 Trojan-Dropper.Agent
Jiangmin 13.0.900 2010.08.07 -
Kaspersky 7.0.0.125 2010.08.08 Trojan-Downloader.Win32.Agent.eesv
McAfee 5.400.0.1158 2010.08.08 Bredolab.gen.c
McAfee-GW-Edition 2010.1 2010.08.08 Artemis!CF0A2F0A1DFC
Microsoft 1.6004 2010.08.08 -
NOD32 5349 2010.08.07 -
Norman 6.05.11 2010.08.08 W32/Bredolab.B!genr
nProtect 2010-08-08.01 2010.08.08 Trojan.Oficla.AA
Panda 10.0.2.7 2010.08.08 Trj/CI.A
PCTools 7.0.3.5 2010.08.08 Downloader.MisleadApp
Prevx 3.0 2010.08.08 -
Rising 22.59.05.04 2010.08.07 -
Sophos 4.56.0 2010.08.08 Troj/Mdrop-CST
Sunbelt 6703 2010.08.08 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.08.08 -
Symantec 20101.1.1.7 2010.08.08 Downloader.MisleadApp
TheHacker 6.5.2.1.338 2010.08.08 -
TrendMicro 9.120.0.1004 2010.08.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.08 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.08 -
VirusBuster 5.0.27.0 2010.08.08 Trojan.Agent.YHJN
Additional information
File size: 20992 bytes
MD5   : cf0a2f0a1dfca7bed24dac419e46fe64



Posted by viruslab
신종악성코드정보2010.08.09 09:42


작년에 있었던 프랑스 여객기(Air France) 추락 사고와 관련된 사진 내용으로 위장한 악성코드 메일이 국내에 유입되었으니, 아래 내용 참고하시고 조심하셔야 겠습니다.


사용자 삽입 이미지

악성코드가 포함된 이메일은 다음과 같습니다.

제목 :
Final_moments_of_Air_France

내용 :
HI
Please have a look at these photos from Air france crash.
Avnish
98203211341

Marco

첨부파일 :
Final_moments_of_Air_France_-_Incredible_Photos.zip



사용자 삽입 이미지


"Final_moments_of_Air_France_-_Incredible_Photos.zip" 파일 내부에는 "Final_moments_of_Air_France_-_Incredible_Photos.exe" 라는 파일명의 악성코드가 포함되어 있으며, 이력서 내용이나 청첩장 내용으로 유포된 악성코드와 동일한 것입니다.



사용자 삽입 이미지

http://www.virustotal.com/analisis/23668991c3905663660ff4131f4774c3e7cf7e6814a5f8e018203ae10f6c75e6-1281297804

nProtect Anti-Virus 가장 최신 버전에서는 "Trojan.Oficla.AA" 라는 악성코드 진단명으로 치료가 가능합니다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
AhnLab-V3 2010.08.08.00 2010.08.07 Downloader/Win32.Agent
AntiVir 8.2.4.34 2010.08.08 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.07 W32/Trojan3.BXE
Avast 4.8.1351.0 2010.08.08 Win32:Trojan-gen
Avast5 5.0.332.0 2010.08.08 Win32:Trojan-gen
AVG 9.0.0.851 2010.08.08 Cryptic.ATL
BitDefender 7.2 2010.08.08 Trojan.Oficla.AA
CAT-QuickHeal 11.00 2010.08.07 -
ClamAV 0.96.0.3-git 2010.08.08 Trojan.Bredolab-988
Comodo 5686 2010.08.08 -
DrWeb 5.0.2.03300 2010.08.08 Trojan.DownLoad2.14991
Emsisoft 5.0.0.36 2010.08.08 Trojan-Dropper.Agent!IK
eSafe 7.0.17.0 2010.08.08 -
eTrust-Vet 36.1.7773 2010.08.07 -
F-Prot 4.6.1.107 2010.08.07 W32/Trojan3.BXE
F-Secure 9.0.15370.0 2010.08.07 Trojan.Oficla.AA
Fortinet 4.1.143.0 2010.08.08 -
GData 21 2010.08.08 Trojan.Oficla.AA
Ikarus T3.1.1.84.0 2010.08.08 Trojan-Dropper.Agent
Jiangmin 13.0.900 2010.08.07 -
Kaspersky 7.0.0.125 2010.08.08 Trojan-Downloader.Win32.Agent.eesv
McAfee 5.400.0.1158 2010.08.08 Bredolab.gen.c
McAfee-GW-Edition 2010.1 2010.08.08 Artemis!CF0A2F0A1DFC
Microsoft 1.6004 2010.08.08 -
NOD32 5349 2010.08.07 -
Norman 6.05.11 2010.08.08 W32/Bredolab.B!genr
nProtect 2010-08-08.01 2010.08.08 Trojan.Oficla.AA
Panda 10.0.2.7 2010.08.08 Trj/CI.A
PCTools 7.0.3.5 2010.08.08 Downloader.MisleadApp
Prevx 3.0 2010.08.08 -
Rising 22.59.05.04 2010.08.07 -
Sophos 4.56.0 2010.08.08 Troj/Mdrop-CST
Sunbelt 6703 2010.08.08 Trojan.Win32.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.08.08 -
Symantec 20101.1.1.7 2010.08.08 Downloader.MisleadApp
TheHacker 6.5.2.1.338 2010.08.08 -
TrendMicro 9.120.0.1004 2010.08.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.08 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.08 -
VirusBuster 5.0.27.0 2010.08.08 Trojan.Agent.YHJN
추가 정보
File size: 20992 bytes
MD5   : cf0a2f0a1dfca7bed24dac419e46fe64





Posted by viruslab