태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.14 10:12


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

조금 전 국내에 유입된 형태는 아래와 같습니다.

제목 :
She wants real male

내용 :
Note: Forwarded message attached

November whole sale

첨부파일 :
Forwarded Message.html



어제 발견된 것과 다르게 금일 유입된 것은 다시 난독화된 스크립트 형식으로 유포되고 있습니다.


해당 파일은 아직 Virus Total 서버에 등록되지 않은 상태입니다.

Posted by viruslab
신종악성코드정보2010.07.14 09:17


구글 메일로 위장한 변종 보기
구글 채용 위장 메일 주의
viruslab.tistory.com

이력서 채용지원과 관련된 허위 내용으로 사용자를 현혹하고 있는 악성코드 이메일이 해외에서 새벽 시간대에 유포된 것이 모니터링 되었습니다.

아직 국내에 유입된 내용이 목격되지는 않았지만, 보통 이러한 악성코드는 전 세계로 전파되는 경우가 많이 있으니, 미리 미리 조심하시면 좋겠습니다.

금번 변종은 메일 본문이 사진 형태로 구성되어 있으며, 특정 사용자의 사진도 포함되어 있는 것이 특징입니다.

nProtect Anti-Virus 제품에는 금일 업데이트 부터 치료 기능을 제공할 수 있도록 분석 등이 진행 되고 있습니다.

제목 :
Please look my CV, Thank you

내용 :
Hello,
Thank you getting back to me about the clerk position.
I really want to be a part of the company and the job sound great.

So, I'm sending you all documents with the scan of my passport.

David Ventre.

첨부파일 :
resume_32354.zip

사용자 삽입 이미지

resume_32354.zip 악성코드 첨부파일은 내부에 Myresume.exe 파일을 포함하고 있습니다.

사용자 삽입 이미지

악성코드 파일은 실제 문서 파일처럼 보이기 위해서 아이콘도 위장하고 있습니다.


Virus Total 진단 현황 보기
http://www.virustotal.com/analisis/0942aac42346ad5b03855560d27c101b008fcb604f8d709088c84502d9493aae-1279054961

Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.13 Trojan.Win32.Cutwail!IK
AhnLab-V3 2010.07.13.01 2010.07.13 -
AntiVir 8.2.4.10 2010.07.13 -
Antiy-AVL 2.0.3.7 2010.07.12 -
Authentium 5.2.0.5 2010.07.13 -
Avast 4.8.1351.0 2010.07.13 -
Avast5 5.0.332.0 2010.07.13 -
AVG 9.0.0.836 2010.07.13 -
BitDefender 7.2 2010.07.13 Trojan.Generic.4482967
CAT-QuickHeal 11.00 2010.07.13 -
ClamAV 0.96.0.3-git 2010.07.13 -
Comodo 5418 2010.07.13 Heur.Suspicious
DrWeb 5.0.2.03300 2010.07.13 Trojan.Packed.20543
eSafe 7.0.17.0 2010.07.11 -
eTrust-Vet 36.1.7704 2010.07.13 -
F-Prot 4.6.1.107 2010.07.13 -
F-Secure 9.0.15370.0 2010.07.13 Trojan-Dropper:W32/Agent.DJYF
Fortinet 4.1.143.0 2010.07.13 -
GData 21 2010.07.13 Trojan.Generic.4482967
Ikarus T3.1.1.84.0 2010.07.13 Trojan.Win32.Cutwail
Jiangmin 13.0.900 2010.07.13 -
Kaspersky 7.0.0.125 2010.07.13 Trojan.Win32.Oficla.bw
McAfee 5.400.0.1158 2010.07.13 -
McAfee-GW-Edition 2010.1 2010.07.13 -
Microsoft 1.5902 2010.07.13 -
NOD32 5276 2010.07.13 Win32/Agent.RDE
Norman 6.05.11 2010.07.13 -
nProtect 2010-07-13.01 2010.07.13 -
Panda 10.0.2.7 2010.07.13 -
PCTools 7.0.3.5 2010.07.13 Backdoor.Trojan
Prevx 3.0 2010.07.13 Medium Risk Malware
Rising 22.56.01.04 2010.07.13 -
Sophos 4.55.0 2010.07.13 Mal/FakeAV-BW
Sunbelt 6576 2010.07.13 -
SUPERAntiSpyware 4.40.0.1006 2010.07.13 -
Symantec 20101.1.0.89 2010.07.13 Backdoor.Trojan
TheHacker 6.5.2.1.313 2010.07.13 -
TrendMicro 9.120.0.1004 2010.07.13 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.13 -
VBA32 3.12.12.6 2010.07.13 -
ViRobot 2010.7.12.3932 2010.07.13 -
VirusBuster 5.0.27.0 2010.07.13 -
Additional information
File size: 98816 bytes
MD5   : 15a6240126bb449d40a63a3f1d309a87



변종이 여러차례 유포된 바 있으니, 이러한 메일을 수신하시면 첨부파일을 열지 마시고 삭제하시길 바랍니다.

Posted by viruslab
신종악성코드정보2010.06.21 07:37


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

loveletter.html, document.html 등의 파일명으로 변경된 것이 목격되고 있습니다.

제목 :
I Know It When

내용 :
Love, Always And Forever

open attach and read all ;)

첨부파일 :
loveletter.html

첨부된 파일명이 동일하더라도 제목과 본문 내용이 다른 형태가 다수 보고되고 있습니다.

사용자 삽입 이미지

다음으로는 document.html 파일명 형태입니다.

제목 :
Update your girth

내용 :
Dont you see her cheating you?

open attach and read all ;)

첨부파일 :
document.html

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2010.06.15 12:59


트위터 암호 초기화 메일에서 페이스북 초기화 메일로 변경되었습니다.

트위터 암호 초기화 위장 내용 보기
Reset your Twitter password
viruslab.tistory.com

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

- open.html :
http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882

제목 :
Reset your Facebook password

내용 :
Hey there.

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Yours,
Facebook=

첨부파일 :
facebook_newpass.html



사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.11 08:57


해당 악성코드 이메일 변종 정보
악성코드 유포를 통한 비아그라 광고, FakeAV 유포, Botnet 구성 등
viruslab.tistory.com

연일 계속해서 악성코드성 Spam 메일이 전파되고 있습니다.

제목 :
(수신자 도메인) account notification

내용 :
Dear Customer,

This e-mail was send by (수신자 관련 메일주소) to notify you that we have temporarily prevented access to your account.

We have reasons to beleive that your account may have been accessed by someone else. Please open attached file (open.html) and Follow instructions.

(수신자 도메인)

사용자 삽입 이미지

open.html 은 잠재적 유해 가능한 스크립트 파일로 분류하여 nProtect 치료 기능에 추가할 예정입니다. 더불어 계속 변종이 제작 유포되고 있어 주의가 필요합니다.

http://www.virustotal.com/ko/analisis/16d6b4230387e024d03edf3e1367814ed9e364d6a802cfbf4851ef55c1f9b0cd-1276214328

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.26 2010.06.10 -
AhnLab-V3 2010.06.10.02 2010.06.10 -
AntiVir 8.2.2.6 2010.06.10 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.10 -
Avast 4.8.1351.0 2010.06.10 -
Avast5 5.0.332.0 2010.06.10 -
AVG 9.0.0.787 2010.06.10 -
BitDefender 7.2 2010.06.10 -
CAT-QuickHeal 10.00 2010.06.10 -
ClamAV 0.96.0.3-git 2010.06.10 -
Comodo 5055 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7627 2010.06.10 -
F-Prot 4.6.0.103 2010.06.09 -
F-Secure 9.0.15370.0 2010.06.10 -
Fortinet 4.1.133.0 2010.06.10 -
GData 21 2010.06.10 -
Ikarus T3.1.1.84.0 2010.06.10 -
Jiangmin 13.0.900 2010.06.10 -
Kaspersky 7.0.0.125 2010.06.10 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.10 -
Microsoft 1.5802 2010.06.10 -
NOD32 5188 2010.06.10 JS/TrojanDownloader.Pegel.BR
Norman 6.04.12 2010.06.10 -
nProtect 2010-06-10.01 2010.06.10 -
Panda 10.0.2.7 2010.06.10 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.03.05 2010.06.10 -
Sophos 4.54.0 2010.06.10 Troj/JSRedir-AR
Sunbelt 6432 2010.06.11 -
Symantec 20101.1.0.89 2010.06.10 -
TheHacker 6.5.2.0.296 2010.06.10 -
TrendMicro 9.120.0.1004 2010.06.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 -
VBA32 3.12.12.5 2010.06.10 -
ViRobot 2010.6.10.3879 2010.06.10 -
VirusBuster 5.0.27.0 2010.06.10 JS.Redirector.Gen.8



Posted by viruslab
신종악성코드정보2010.06.09 16:51


변종 정보 확인하기
구글 채용 위장 메일 주의
viruslab.tistory.com

구글에서 발송한 내용처럼 위장하고 있으며, 이력서 채용지원과 관련된 허위 내용으로 사용자를 현혹하고 있습니다.

변종이 여러차례 유포된 바 있으니, 이러한 메일을 수신하시면 첨부파일을 열지 마시고 삭제하시길 바랍니다.

발신지 :
resume-thanks@google.com

제목 :
Thank you from Google!

내용 :
We just received your resume and would like to thank you for your interest in
working at Google. This email confirms that your application has been submitted
for an open position.

Our staffing team will carefully assess your qualifications for the role(s) you
selected and others that may be a fit. Should there be a suitable match, we
will be sure to get in touch with you.

Click on the attached file to review your submitted application.

Have fun and thanks again for applying to Google!

Google Staffing




사용자 삽입 이미지

첨부되어 있던 CV-20100120-112.zip 파일은 손상 되었는지 정상적으로 해제되지 않고 있습니다.

그나마 다행이네요. 악성코드의 버그!!

사용자 삽입 이미지


사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2010.06.07 11:33


마이크로 소프트에서 발송한 아웃룩 지원 관련 메일로 위장하여 악성코드가 유포되고 있습니다.

아래 내용 참고하시어 주의하시면 좋겠습니다.

제목 :
Outlook Setup Notification

내용 :
You have (8) messages from Microsoft Outlook.

Please re-configure your Microsoft Outlook again.

Download attached setup file and install.

첨부파일 :
outlookupdate.zip


사용자 삽입 이미지

사용자 삽입 이미지


outlookupdate.exe 파일은 외산 허위 보안 제품으로 사용자에게 가짜 악성코드 진단화면을 출력하여 과금 결제를 유도하는 일명 "가짜 백신" 입니다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.03 08:49


바이러스 토탈 진단 현황
악성코드 진단현황을 보실 수 있습니다.
www.virustotal.com

Outlook Setup Notification 제목의 악성코드 이메일이 국내에 유입되었사오니, 이러한 메일을 받으시면 절대로 첨부파일을 열어보지 마시기 바랍니다.

첨부파일을 다운로드 하여 압축을 해제하고 실행하실 경우 새로운 악성코드에 감염 노출되실 수 있습니다.

악성코드 메일 형식은 다음과 같습니다.

특히 보낸이 이름이 "microsoft outlook support" 으로 마치 마이크로 소프트에서 보낸 메일처럼 위장하고 있습니다.

제목 :
Outlook Setup Notification

내용 :
You have (8) messages from Microsoft Outlook.

Please re-configure your Microsoft Outlook again.

Download attached setup file and install.

첨부파일(악성코드) :
outlookupdate.zip (22,006 바이트)



사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

Posted by viruslab