태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.09.27 09:26


다양한 이력서(curriculum vitae) 메일 내용처럼 위장한 악성코드 이메일이 국내에 유입되고 있습니다.

아래와 같은 내용의 이메일을 수신하실 경우 절대로 첨부파일을 열지 마시길 바랍니다.

제목 :
Here's that file that you wanted.

내용 :
Please take a look at the attached resume.

첨부파일 :
40596cv.zip 외 다수의 파일명


사용자 삽입 이미지

첨부파일명은 40596cv.zip, 13654cv.zip, 72422cv.zip 등 다양하게 존재하며, 제목과 내용도 조금씩 다른 것들이 다수 발견되었습니다.

대체로 CV 라는 이력서 내용처럼 사용한 것이 공통점이라 할 수 있습니다.

압축 파일 내부에는 cv.exe 라는 악성프로그램이 포함되어 있습니다.

사용자 삽입 이미지

nProtect Anti-Virus 9월 27일자 부터 치료가 가능합니다.



Posted by viruslab
신종악성코드정보2010.09.09 12:03


이력서 메일 내용처럼 교묘하게 위장한 악성코드 이메일이 국내에 유입된 것이 확인되었습니다.

아래 내용 참고하시어 유사 악성파일 유포 메일에 속지 않도록 조심하시면 좋겠습니다.

제목 :
이력서 도서

내용 :
안녕하세요 :

난 졸업생은 홍콩 대학에서 오전.난 일본에서 1 년 이상 해외 유학했다.주로 온라인 게임 개발 및 운영 기술 인력의.
인터넷에서 직원의 채용에 임금을 볼 수있습니다.난 물어 자유 걸릴하고 싶습니다.내 개인 정보를 첨부합니다.
당신보다 더 잘 쓰지.감사합니다.

첨부파일 :
이력서.zip


한글 내용은 번역기 등을 사용한 것으로 보여지며, 대부분 문법에 맞지 않습니다.

사용자 삽입 이미지

"이력서.zip" 파일 내부에는 "SeriyLee Resume.chm" 라는 컴파일된 HTML Help 파일이 포함되어 있고, chm 내부에 svchost.exe 라는 악성파일이 추가로 실행되도록 제작되어 있습니다.

사용자 삽입 이미지

SeriyLee Resume.chm 내부에는 가짜 이력서 내용 launch.htm 파일과 mypic.jpg 라는 사진 파일 등이 포함되어 있으며, 몰래 실행되는 svchost.exe 라는 악성파일이 포함되어 있습니다.

chm 파일이 실행되면 다음과 같이 실제 이력서와 같은 화면을 보여주어 사용자가 정상적인 파일로 인식하도록 만듭니다.

중국에서 제작된 것으로 추정되며, 사진속 인물은 중국쪽 연예인 사진인 듯 싶습니다.

사용자 삽입 이미지

이력서에 포함된 사진 화면인데, 해외 모델이나 연예인 사진을 도용한 것으로 보여집니다. 혹시 정확하게 아시는 분 있으면 좀 알려주세요.^^


메일이 발송된 곳은 중국 베이징으로 추적되었습니다.


악성파일에 감염이 되면 실행되어 있는 일부 정상 파일이 백업되고, 감염된 파일로 교체되는 현상이 발생됩니다.

nProtect Anti-Virus 제품에서는 감염된 파일의 치료 기능을 제공할 예정 중입니다.

http://www.virustotal.com/file-scan/report.html?id=5bec540896902e643a4563b17b312a9ba8f6291b7e659f1122692ec9048ce39a-1284001638


Antivirus Version Last Update Result
AhnLab-V3 2010.09.09.00 2010.09.09 Backdoor/Win32.Banito
AntiVir 8.2.4.50 2010.09.08 TR/Crypt.XPACK.Gen3
Antiy-AVL 2.0.3.7 2010.09.09 -
Authentium 5.2.0.5 2010.09.08 -
Avast 4.8.1351.0 2010.09.08 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.08 Win32:Malware-gen
AVG 9.0.0.851 2010.09.08 Downloader.Generic10.QMB
BitDefender 7.2 2010.09.09 Trojan.Generic.4715438
CAT-QuickHeal 11.00 2010.09.08 TrojanDownloader.Unruy.i
ClamAV 0.96.2.0-git 2010.09.09 -
Comodo 6018 2010.09.09 -
DrWeb 5.0.2.03300 2010.09.09 -
Emsisoft 5.0.0.37 2010.09.09 Trojan-Downloader.Win32.Unruy!IK
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7843 2010.09.08 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.09 Trojan-Downloader:W32/FakeAlert.NV
Fortinet 4.1.143.0 2010.09.08 -
GData 21 2010.09.09 Trojan.Generic.4715438
Ikarus T3.1.1.88.0 2010.09.09 Trojan-Downloader.Win32.Unruy
Jiangmin 13.0.900 2010.09.08 Backdoor/Banito.pd
K7AntiVirus 9.63.2470 2010.09.08 -
Kaspersky 7.0.0.125 2010.09.09 Backdoor.Win32.Banito.anw
McAfee 5.400.0.1158 2010.09.09 Artemis!5ED7F5FFD25D
McAfee-GW-Edition 2010.1B 2010.09.09 Artemis!5ED7F5FFD25D
Microsoft 1.6103 2010.09.09 TrojanDownloader:Win32/Unruy.I
NOD32 5435 2010.09.08 -
Norman 6.06.05 2010.09.08 -
nProtect 2010-09-09.01 2010.09.09 Backdoor/W32.Banito.167936.C
Panda 10.0.2.7 2010.09.08 Trj/CI.A
PCTools 7.0.3.5 2010.09.09 -
Prevx 3.0 2010.09.09 Medium Risk Malware
Rising 22.64.02.04 2010.09.08 Trojan.Win32.Generic.522F3C2E
Sophos 4.57.0 2010.09.09 -
Sunbelt 6849 2010.09.09 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.09.09 -
Symantec 20101.1.1.7 2010.09.09 -
TheHacker 6.7.0.0.012 2010.09.09 Backdoor/Banito.anw
TrendMicro 9.120.0.1004 2010.09.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.09 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.09 -
VirusBuster 12.64.24.0 2010.09.08 -







Posted by viruslab
신종악성코드정보2010.06.09 16:51


변종 정보 확인하기
구글 채용 위장 메일 주의
viruslab.tistory.com

구글에서 발송한 내용처럼 위장하고 있으며, 이력서 채용지원과 관련된 허위 내용으로 사용자를 현혹하고 있습니다.

변종이 여러차례 유포된 바 있으니, 이러한 메일을 수신하시면 첨부파일을 열지 마시고 삭제하시길 바랍니다.

발신지 :
resume-thanks@google.com

제목 :
Thank you from Google!

내용 :
We just received your resume and would like to thank you for your interest in
working at Google. This email confirms that your application has been submitted
for an open position.

Our staffing team will carefully assess your qualifications for the role(s) you
selected and others that may be a fit. Should there be a suitable match, we
will be sure to get in touch with you.

Click on the attached file to review your submitted application.

Have fun and thanks again for applying to Google!

Google Staffing




사용자 삽입 이미지

첨부되어 있던 CV-20100120-112.zip 파일은 손상 되었는지 정상적으로 해제되지 않고 있습니다.

그나마 다행이네요. 악성코드의 버그!!

사용자 삽입 이미지


사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2010.06.08 13:35


Adobe Reader 사용자분들은 이러한 파일을 받으시면 절대로 실행하지 마시길 권장해 드립니다.

제목 :
New Resume

내용 :
Please review my CV, Thank You!

첨부파일 :
resume.pdf

CVCurriculum Vitae 를 의미하며, 보통 이력서를 표현하는 약어이기도 합니다.

사용자 삽입 이미지

이러한 내용으로 유포된 악성코드는 예전에도 다수 보고된 바 있으며, PDF 취약점 파일을 이용하는 방식으로 변경되어 유포되고 있습니다.

바이러스 토탈 진단현황
Result: 8/41 (19.51%)
virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.08 -
AhnLab-V3 2010.06.08.00 2010.06.08 -
AntiVir 8.2.2.6 2010.06.07 -
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.08 -
Avast 4.8.1351.0 2010.06.07 -
Avast5 5.0.332.0 2010.06.07 -
AVG 9.0.0.787 2010.06.07 -
BitDefender 7.2 2010.06.08 Exploit.PDF-Dropper.Gen
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.08 -
Comodo 5022 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.08 -
eSafe 7.0.17.0 2010.06.06 PDF.DropperExploit.Gen
eTrust-Vet 36.1.7617 2010.06.07 PDF/POS!exploit

F-Prot 4.6.0.103 2010.06.07 -
F-Secure 9.0.15370.0 2010.06.08 Exploit.PDF-Dropper.Gen
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.08 Exploit.PDF-Dropper.Gen
Ikarus T3.1.1.84.0 2010.06.08 -
Jiangmin 13.0.900 2010.06.07 -
Kaspersky 7.0.0.125 2010.06.08 -
McAfee 5.400.0.1158 2010.06.08 -
McAfee-GW-Edition 2010.1 2010.06.07 -
Microsoft 1.5802 2010.06.08 -
NOD32 5180 2010.06.07 -
Norman 6.04.12 2010.06.07 -
nProtect 2010-06-07.01 2010.06.07 Exploit.PDF-Dropper.Gen
Panda 10.0.2.7 2010.06.07 -
PCTools 7.0.3.5 2010.06.08 HeurEngine.PDF
Prevx 3.0 2010.06.08 -
Rising 22.51.01.00 2010.06.08 -
Sophos 4.53.0 2010.06.08 -
Sunbelt 6417 2010.06.08 -
Symantec 20101.1.0.89 2010.06.08 Bloodhound.PDF.24
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.08 -
VBA32 3.12.12.5 2010.06.07 -
ViRobot 2010.6.8.2342 2010.06.08 -
VirusBuster 5.0.27.0 2010.06.07 -



Posted by viruslab