태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.06.15 09:02


기존 유사 변종 정보 꼭 읽어보세요.
메일로 악성코드 유포 중
viruslab.tistory.com

기존에 있었던 메일 방식을 조금씩 변경하면서 악성코드 유포, 유해 사이트 접속 유도 시도 등을 하고 있습니다.

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

- open.html : http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877

유심히 살펴보시고 이러한 메일에 현혹되지 마셔야 할 것 같습니다.

제목 :
Reset your Twitter password

내용 :
Hi, (수신자 이메일 주소).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.


The Twitter Team

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.

첨부파일 :
index.html



Posted by viruslab
보안관련소식2010.06.10 17:13


9일 중국 IP서 디도스 공격 받아
120여개 인터넷 주소에서 동시공격... 추적나서
newdaily.co.kr

뉴스를 쓰신 기자분 성함이 안보이네요.

사용자 삽입 이미지

지난해 7월 발생한 디도스(분산 서비스 거부)공격이 북한이 유사시 주한미군과 워싱턴의 미군 지휘부 간 통신을 마비하려는 의도에서 비롯됐다는 주장이 제기됐다. ⓒ 뉴데일리


임종인 고려대 교수(한국정보보호학회장)는 최근 “천안함 다음 북한의 선택은 사이버 공격이 될 가능성이 높다”고 지적한 바 있다.

정부는 지난해 DDoS 사이버 테러의 배후로 북한군 총참모부 정찰국 산하 110호 연구소를 지목한 바 있다.

110호 연구소는 기존의 사이버 전쟁 전담 부대인 ‘기술정찰조’와 ‘조선컴퓨터센터(KCC)’ 등을 확대 편성한 것.

북한은 지난해 국방위원회의 정찰총국 예하에 ‘전자정찰국’도 신설했다.

이들의 임무는 한국을 비롯한 미국과 일본 등 국가와 군 관련 주요 기관의 컴퓨터망에 침입해 비밀 자료를 훔치거나 바이러스를 유포하는 일로 알려졌다.

하태경 열린북한방송 대표는 “북한 해커들이 주로 중국을 거점으로 활약하고 있다”며 “북한 자체는 인터넷 인프라가 충분치 않기 때문에 중국이 주 활동 무대”라며 “9일 중국발 디도스 공격도 북한의 사이버공격일 가능성이 크다”고 말했다.

행정안전부는 현재 관계기관과 함께 공격자를 추적하고 있다고 밝혔다.

Posted by viruslab
보안관련소식2010.06.09 09:20


해당 정보 보기
Hacker find holes in Sprint's
new 4G phone
stubmleupon.com

스마트폰에 대한 잠재적인 보안 위협과 이슈는 현재 진행형이네요!

사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.06.08 18:23


W32.Expichu
시만텍 Expichu 위협레벨 2 : Low
symantec.com


nProtect 지못미.. ㅜㅜ 치료 기능 추가 예정입니다.

http://www.virustotal.com/ko/analisis/60f973d9f72926e06e93c8678f04f5b92d8ab1994b5a689502bd7f853574267b-1275988775

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.26 2010.06.08 Trojan-PWS.Win32.Lmir!IK
AhnLab-V3 2010.06.08.00 2010.06.08 -
AntiVir 8.2.2.6 2010.06.08 Worm/Abuse.AL.7
Antiy-AVL 2.0.3.7 2010.06.08 Worm/Win32.Abuse.gen
Avast 4.8.1351.0 2010.06.07 Win32:Rootkit-gen
AVG 9.0.0.787 2010.06.07 Dropper.Generic.BDLX
BitDefender 7.2 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.08 -
Comodo 5026 2010.06.08 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.06.08 Trojan.NtRootKit.2909
eSafe 7.0.17.0 2010.06.06 -
F-Secure 9.0.15370.0 2010.06.08 -
Fortinet 4.1.133.0 2010.06.06 W32/Abuse.AL!worm
GData 21 2010.06.08 Win32:Rootkit-gen
Ikarus T3.1.1.84.0 2010.06.08 Trojan-PWS.Win32.Lmir
Kaspersky 7.0.0.125 2010.06.08 Worm.Win32.Abuse.al
McAfee 5.400.0.1158 2010.06.08 W32/Autorun.worm!jx
McAfee-GW-Edition 2010.1 2010.06.08 W32/Autorun.worm!jx
Microsoft 1.5802 2010.06.08 Worm:Win32/Autorun.DM
Norman 6.04.12 2010.06.07 W32/Smallworm.HCB
nProtect 2010-06-07.01 2010.06.07 -
PCTools 7.0.3.5 2010.06.08 Malware.Expichu
Sophos 4.53.0 2010.06.08 Mal/Generic-A
Sunbelt 6417 2010.06.08 Worm.Win32.AutoRun
Symantec 20101.1.0.89 2010.06.08 W32.Expichu
TrendMicro 9.120.0.1004 2010.06.08 Mal_Otorun9
TrendMicro-HouseCall 9.120.0.1004 2010.06.08 Mal_Otorun9
VBA32 3.12.12.5 2010.06.08 MalwareScope.Trojan-PSW.Game.7
ViRobot 2010.6.8.2342 2010.06.08 Worm.Win32.Abuse.98304
VirusBuster 5.0.27.0 2010.06.07 -



Posted by viruslab
신종악성코드정보2010.06.08 14:42


Adobe Security bulletin
CVE-2010-1297
adobe.com

2010년 6월 4일에 보고된 플래시 플레이어, 어도브 리더, 아크로뱃 Zero-Day 취약점 공격 파일의 진단 현황입니다.

사용자 삽입 이미지

바이러스 토탈 진단현황
Trojan-Exploit/W32.Pidief.268333.EY

virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.08 HTML.Malicious!IK
AhnLab-V3 2010.06.08.00 2010.06.08 PDF/Cve-2010-1297
AntiVir 8.2.2.6 2010.06.07 HTML/Malicious.PDF.Gen
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.08 PDF/Expl.HW
Avast 4.8.1351.0 2010.06.07 JS:Pdfka-gen
Avast5 5.0.332.0 2010.06.07 JS:Pdfka-gen
AVG 9.0.0.787 2010.06.07 Exploit_c.GGK
BitDefender 7.2 2010.06.08 Exploit.SWF.J
CAT-QuickHeal 10.00 2010.06.08 -
ClamAV 0.96.0.3-git 2010.06.08 Exploit.PDF-28487
Comodo 5022 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.08 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 36.1.7617 2010.06.07 PDF/Pidief.RP
F-Prot 4.6.0.103 2010.06.07 PDF/Expl.HW
F-Secure 9.0.15370.0 2010.06.08 Exploit:W32/Pidief.CPT
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.08 Exploit.SWF.J
Ikarus T3.1.1.84.0 2010.06.08 HTML.Malicious
Jiangmin 13.0.900 2010.06.07 -
Kaspersky 7.0.0.125 2010.06.08 Exploit.JS.Pdfka.ckq
McAfee 5.400.0.1158 2010.06.08 -
McAfee-GW-Edition 2010.1 2010.06.07 -
Microsoft 1.5802 2010.06.08 Exploit:Win32/Pdfjsc.gen!A
NOD32 5180 2010.06.07 -
Norman 6.04.12 2010.06.07 JS/Shellcode.IK
nProtect 2010-06-07.01 2010.06.07 Trojan-Exploit/W32.Pidief.268333.EY
Panda 10.0.2.7 2010.06.07 -
PCTools 7.0.3.5 2010.06.08 Trojan.Pidief
Prevx 3.0 2010.06.08 -
Rising 22.51.01.00 2010.06.08 -
Sophos 4.53.0 2010.06.08 Troj/SWFDlr-S
Sunbelt 6417 2010.06.08 -
Symantec 20101.1.0.89 2010.06.08 Trojan.Pidief.J
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.07 TROJ_PIDIEF.WX
TrendMicro-HouseCall 9.120.0.1004 2010.06.08 TROJ_PIDIEF.WX
VBA32 3.12.12.5 2010.06.07 -
ViRobot 2010.6.7.2341 2010.06.08 JS.S.EX-Pdfka.268333
VirusBuster 5.0.27.0 2010.06.07 -

Posted by viruslab
신종악성코드정보2010.06.08 14:22


미국 사이버 사령부 설립
사이버 사령부 설립해 사이버테러 대비
news.mk.co.kr

우리나라의 경우 각 군 CERT와 기무사 활동이 있는 것으로 알고 있는데, 별도로 또 다른 조직이 있는지는 모르겠네요.

한 4~5년전 쯤에 전군 CERT 보안 교육을 했던 기억이 나네요.


사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.08 09:07


멕시코 국제공항 홈피 해킹
베니토 후아레스 국제공항 해킹
news.chosun.com

베티토 후아레스 국제공항 홈페이지가 지난 6일부터 정부를 비난하는 해커로부터 공격을 당해 이틀째 접속이 차단되고 있다고 하네요.

곧 검거 소식이 전해지겠죠.

사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.06.08 08:57


트위터 메일로 위장한 악성코드
Twitter 메일 악성코드 주의하세요.
viruslab.tistory.com

드디어 본색을 드러내기 시작하네요.

어제 보고해 드렸던 트위터 발신지로 위장한 메일이 악성코드 유포에 이어서 예상한대로 "비아그라 광고" 를 띄우기 시작했습니다.

사용자 삽입 이미지

현재 해당 그림을 클릭하면 다음 사이트로 연결을 시도하지만 생성되지 않았거나 구글에 의해서 삭제된 것으로 추정됩니다.

어제 악성코드를 유포했던 구글 그룹 사이트도 차단된 것으로 확인되었습니다.

http://groups.google.com/group/pppppps

구글 그룹을 통한 악성코드 유포가 증대하고 있으므로, 구글 나름대로 이와 관련한 대응안 마련이 요구되고 있습니다.
어쩌면 취약점이 있을지도 모르겠네요! 공격자가 수동으로 계정을 만드는것을 그리 좋아하진 않을 것 같은데 말이죠.

현재 구글에 의해서 차단된 악성코드 링크를 클릭하면 다음과 같이 구글 그룹 초기 화면이 보여집니다.

구글쪽이라면 생성자 추적도 가능하지 않을까 싶은데..

Posted by viruslab
신종악성코드정보2010.06.07 13:57


트위터 스팸 광고 메일
트위터 메일로 위장한 악성코드 주의
viruslab.tistory.com

트위터에서 발송한 메일처럼 위장하고 있으며, 특정 링크를 클릭하게 만들어 악성코드에 감염되도록 변형된 것이 국내에 유입되었습니다.

Twitter_security_model_setup.zip 파일을 설치하시거나 실행하지 마시기 바랍니다.

또한, 악성코드 메일은 계속해서 변형되고 있으니, 트위터에서 보내온 것처럼 위장된 메일에 각별히 주의하셔야 겠습니다.

메일은 다음과 같은 형식으로 유포된 것이 발견되었으며, 제목에 포함되어 있는 숫자는 가변적입니다.

보낸이 :
Twitter

제목 :
Twitter 722-70

내용 :
Hi, (수신자).co.kr
Attention! We detected that someone was trying to steal your Twitter account password.

We strongly recomended you to download our secure module to protect account!

Please click on the link below:
http://twitter.com/Twitter_security_model_setup.zip

The Twitter Team

If you received this message in error and did not sign up for a Twitter account, click not my account.

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at Twitter Support.


본문에 포함되어 있는 링크는 실제 트위터로 연결되어 있지 않고, 특정 구글 그룹 사이트로 연결됩니다.

관련 악성코드 분석정보 보기
구글 그룹 사이트를 통한 악성코드 유포기법
www.nprotect.com

사용자 삽입 이미지

해당 링크를 클릭하게 되면 다음과 같이 악성코드 다운로드가 시도됩니다.

사용자 삽입 이미지

파일명은 Twitter_security_model_setup.zip 이며, 마치 트위터 보안 파일처럼 사용자를 속일려고 합니다.

압축 파일 내부에는 exe 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

이번 악성코드의 경우 윈도우 업데이트 아이콘을 사용하고 있습니다.

사용자 삽입 이미지

악성코드의 진단 현황
바이러스 토탈 진단 현황 보기
www.virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.07 Gen.Heur!IK
AhnLab-V3 2010.06.06.00 2010.06.06 Trojan/Win32.Tdss
AntiVir 8.2.2.6 2010.06.06 TR/Crypt.XPACK.Gen2
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.06 -
Avast 4.8.1351.0 2010.06.06 Win32:Jifas-FX
Avast5 5.0.332.0 2010.06.06 Win32:Jifas-FX
AVG 9.0.0.787 2010.06.06 -
BitDefender 7.2 2010.06.07 Gen:Variant.TDss.17
CAT-QuickHeal 10.00 2010.06.07 -
ClamAV 0.96.0.3-git 2010.06.07 -
Comodo 5013 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.07 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 35.2.7528 2010.06.04 -
F-Prot 4.6.0.103 2010.06.06 -
F-Secure 9.0.15370.0 2010.06.07 Gen:Variant.TDss.17
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.07 Gen:Variant.TDss.17
Ikarus T3.1.1.84.0 2010.06.07 Gen.Heur
Jiangmin 13.0.900 2010.06.06 -
Kaspersky 7.0.0.125 2010.06.07 -
McAfee 5.400.0.1158 2010.06.07 -
McAfee-GW-Edition 2010.1 2010.06.06 Heuristic.BehavesLike.Win32.Packed.B
Microsoft 1.5802 2010.06.06 -
NOD32 5177 2010.06.06 -
Norman 6.04.12 2010.06.06 -
nProtect 2010-06-06.01 2010.06.06 Gen:Variant.TDss.17
Panda 10.0.2.7 2010.06.06 Trj/CI.A
PCTools 7.0.3.5 2010.06.07 -
Prevx 3.0 2010.06.07 -
Rising 22.51.00.01 2010.06.07 -
Sophos 4.53.0 2010.06.07 Sus/UnkPack-C
Sunbelt 6414 2010.06.07 Packed.Win32.Tdss.q (v)
Symantec 20101.1.0.89 2010.06.07 -
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.07 -
VBA32 3.12.12.5 2010.06.04 -
ViRobot 2010.6.5.2339 2010.06.07 -
VirusBuster 5.0.27.0 2010.06.06 -

악성코드 파일이 실행되면 다음 화면과 같이 Protection Center 라는 외산 허위 보안 제품이 설치됩니다.






Posted by viruslab
신종악성코드정보2010.06.07 11:33


마이크로 소프트에서 발송한 아웃룩 지원 관련 메일로 위장하여 악성코드가 유포되고 있습니다.

아래 내용 참고하시어 주의하시면 좋겠습니다.

제목 :
Outlook Setup Notification

내용 :
You have (8) messages from Microsoft Outlook.

Please re-configure your Microsoft Outlook again.

Download attached setup file and install.

첨부파일 :
outlookupdate.zip


사용자 삽입 이미지

사용자 삽입 이미지


outlookupdate.exe 파일은 외산 허위 보안 제품으로 사용자에게 가짜 악성코드 진단화면을 출력하여 과금 결제를 유도하는 일명 "가짜 백신" 입니다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.07 09:05


이전 분석 정보
트위터를 이용한 피싱메일이
증가하고 있습니다. 주의하세요.
viruslab.tistory.com

트위터 쪽지로 다음과 같은 영문 내용이 다수 보고되고 있으며, 피해가 증가하고 있는 것으로 보여집니다.

트위터 사용자분들의 각별한 주의가 요망됩니다.


사용자 삽입 이미지

링크를 클릭하게 되면 다음과 같은 사이트가 연결됩니다.

사용자 삽입 이미지

Click to Play Now! 버튼을 클릭하면 트위터 사용자의 암호 입력을 요구하는데, 이 과정에서 개인 정보가 유출될 위험이 있습니다.

자세한 내용은 아래 링크를 참고하세요.

http://viruslab.tistory.com/1789

Posted by viruslab
신종악성코드정보2010.06.07 08:52


관련 정보 보기
트위터 피싱 메일 사례 보기
viruslab.tistory.com

마치 트위터에서 보낸 것처럼 위장한 트위터 피싱 메일이 국내에 다수 발견되고 있습니다.

이러한 메일을 받았을 경우 현혹되지 마시고, 무시하시면 좋겠습니다.

앞으로 트위터와 관련된 내용으로 악성코드도 지속적으로 유포될 것으로 우려됩니다.

사용자 삽입 이미지

링크를 클릭할 경우 비아그라 등 광고 사이트가 연결됩니다.

이 사이트의 경우 악성코드를 통하여 광고를 하기도 하였습니다.
사용자 삽입 이미지


Posted by viruslab