태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.12.13 08:50


다음과 같이 실제 페이스북 친구가 보낸 것처럼 위장한 메일이 국내에 유입된 것이 확인되었습니다.

현재니는 링크가 되어 있는 gong.html 파일이 정상적으로 열리지 않아 추가적인 코드가 실행되지는 않으나, 이렇게 조작된 이메일은 잠재적인 보안 위협에 노출될 가능성이 높습니다.

페이스북 이용자분들은 이러한 점을 유념해 주시고, 이메일 본문에 포함된 링크가 실제 내용과 동일한 곳인지 꼭 확인해 보는 습관을 가져주신다면 도움이 될 듯 싶습니다.

사용자 삽입 이미지

본문에 포함되어 있는 다수의 링크가 Facebook 도메인이 아닌 다른 사이트로 연결되어 있는 것을 볼 수 있습니다.


Posted by viruslab
신종악성코드정보2010.07.21 08:57


페이스북 사진 위장 악성코드
My new photos 내용 조심
viruslab.tistory.com

페이스북(Facebook) 사용자의 사진 링크처럼 교묘하게 위장한 내용으로 악성코드 유포 시도 사이트로 접근을 하도록 유도하는 악성코드 이메일이 지속적으로 증가하고 있습니다.

조금 전 기존에 발견되었던 이메일의 제목을 변경한 형태가 국내에 유입된 것이 확인되었으므로, 내용을 미리 파악해 두시고, 이러한 유사 이메일을 수신할 경우 링크를 무심코 실행해서 악성코드 유포 등이 가능한 사이트로 접근하시지 않도록 각별히 조심하셔야 겠습니다.


사용자 삽입 이미지


이러한 링크를 통해서 연결되는 새로운 웹 사이트에서는 또 다른 악성코드를 설치하거나, 비아그라 등 성인 용품 광고 목적의 사이트로 재 연결하기도 합니다.


Posted by viruslab
신종악성코드정보2010.07.19 10:29


마치 페이스북의 사진 공유 메일 처럼 위장한 악성코드 유포 메일이 국내에 유입된 것이 발견되었습니다.

해당 링크를 클릭하면 또 다른 도메인으로 연결되며, 악성코드 추가 감염 등에 노출될 가능성이 높습니다.

이러한 메일을 받으시면 링크를 절대로 클릭하지 마시고 삭제하시는 것이 안전합니다.

사용자 삽입 이미지

링크는 실제 다음과 같은 도메인으로 연결됩니다.

http://spac(삭제)mory.ru:8080/index.php?pid=13



Posted by viruslab
보안관련소식2010.07.09 11:03


십 여년 넘게 악성코드 및 대응 관련 내용을 접하고, 하루 하루 시간이 흐를 수록 변화되는 인터넷 세상과 IT 환경에 격세지감을 느낍니다.

악성코드 대응은 혼신을 다해 42.195 Km? 아니 끝 없이 달리는 마라토너와 같은 마음과 행동을 가진 사람들의 힘든 작업이 아닐까 하는 생각으로 오늘 하루도 새롭게 시작을 하는 것 같습니다.

사용자 삽입 이미지

극단적으로 처절하고 집요한 업무에 혼신을 다해 집중하다 보면 하루가 어떻게 지나가는지 모르는 경우가 비일비재 합니다. 그러다 보면 저 처럼 허리에 무리를 주어 Pain 을 얻는 경우도 있고요.

지금은 트위터, 페이스북 등 SNS 가 활성화 되고, 정치인과 국민의 소통이 중요시 되어야 한다는 얘기를 많이 듣게 되기도 합니다. 더군다나 각종 스마트 폰의 활용도가 우리 생활 깊숙히 자리잡아감에 따라 더욱 더 소통의 중요성과 신속성을 소리 높혀가고 있는 것 같다는 생각을 하고요.

그럼 모두가 말하는 보안이란 진정 무엇일까요?

사용자 삽입 이미지

Security


1990년대의 기억을 돌아보면 대부분의 보안 서비스는 소통에 있어서 다소 폐쇄적이었다는 느낌을 지울 수 없습니다. 물론 환경적이나 구조적인 제약이 많았기 때문에 신속한 정보 전달과 공유는 기술적 한계가 있을 수 밖에 없는 시절이기도 하였지요.

예를들면 신종 바이러스가 해외에서 출현해도 아직 국내에 유입되어 크게 이슈화되지 않았거나 또는 완벽한 대응 준비가 되어 있지 않았다면, 국내에선 관련 내용을 접하기가 사실 쉽지 않았지요.

지금은 RSS, SNS, SMS 등을 통해서 실시간 Global 보안 정보가 전 세계의 인맥 루트를 통해서 다양하게 공유되고 있기 때문에 누구 한명이 소리내지 않는다고 해서 그 내용이 조용하게 묻혀버린다는 보장이 없지요.

사용자 삽입 이미지

소셜 네트워크


예전과 다르게 지금은 환경적인 어려움에서 벗어나고 있고, 이를 통한 소통의 통로는 매우 다채롭게 변화되고 있다고 보여집니다.

자 그렇다면 보안 소통의 현시점은 어떨까요?

이젠 누구보다 발빠르게 정보를 지득하고 그 내용을 바탕으로 불특정 다수에게 신속하게 정보를 전파하고 피드백을 받는 방식을 선호하고 있지요.

멀티 미디어를 앞지르고, 고객의 신고에 의존하던 수동적인 자세에서 벗어나 스스로 모니터링을 하여 능동적으로 먼저 대처하는 모습으로 행동하고 있다는 것을 보면서 느끼는 것은 보안에 있어서 소통도 이제는 변화의 중심에 서 있다는 것입니다.

보안이란 누구 한명으로 이루어지는 것이 아니라 모두가 함께 참여하여야 더 많은 "시너지 효과"를 거두게 되고, 그 과정에서 생각하지 못한 효과가 발생할 수 있다는 것을 피부로 느낍니다.

이러한 소통 과정에서는 예상하지 못하는 진통이 있는데, 구시대적인 사고방식에서 탈피하지 못하는 반 소통계층에 의한 부분이 크다고 보여집니다.

사용자 삽입 이미지

우물안 개구리


보안이슈 커뮤니케이션이 자신만의 Unique 한 기술파워를 노출한다고 판단하는 부류가 있다는 것과 Close Mind 적인 생각들이 정보 흐름의 방화벽을 만들고 있으니 말이죠.

수 많은 정보와 이슈는 이제 누구 한명의 몸짓 하나에만 의미를 더할 수 있는 것이 아니라 모두가 함께 느끼고, 의견과 공감대가 견제되고 수렴될 때 이상하고 신기한 마력을 발휘하며, 결국 그 Feedback 은 커다란 나비 효과를 발생시킬 수 있는 시대가 왔다는 것을 느끼지 못함에 안타깝지요.

말로는 Early Adopter 이며, 항상 눈과 귀를 열고 있지만 어떤 소통의 나침반을 판단함에 있어서 하나의 기준에 의해서 모호하게 결정된다면, Twitter (지저귐)가 아니라 Twit (멍청이)이 될 수 밖에 없겠지요.

사용자 삽입 이미지

이젠 너도 나도 세상을 바꾸는 새가 되어 다 함께 합창을 할 수 있는 새들의 놀이터인 트위터에서 만나고, 140자의 제한이 아닌 RT 의 꼬리물기를 통해서 또 다른 개인 소셜 보안의 창구가 될 수 있다는 것을 새삼 느끼게 됩니다.

진정성을 보장하고 인터넷 개인 표현의 자유가 개인 보안 정보 교류와 직결되어지는 중요한 요소로 자리잡아간다면 새롭거나 잠재적인 보안 위협이 발생되어도 모두가 함께 대처할 수 있을 것이라 기대해 봅니다.

틀에서 벗어난 사고 방식과 Crazy Idea 등의 역발상이 우리의 보안 의식과 도외시하던 모두의 정보 소통을 새롭게 할 것이다라는 것을 뼛속 깊히 새겨두어야 겠다는 생각입니다.



Posted by viruslab
보안관련소식2010.06.16 16:49


http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

■ SNS 악성코드 소통의 창구로 악용 주의

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

사용자 삽입 이미지

 트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

사용자 삽입 이미지

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)

사용자 삽입 이미지

2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.

사용자 삽입 이미지

본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

사용자 삽입 이미지
 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.

사용자 삽입 이미지


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.

사용자 삽입 이미지

본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다.

※ 피싱(Phishing)이란?

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다.

사용자 삽입 이미지

최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.

사용자 삽입 이미지
 
버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.

사용자 삽입 이미지

여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.16 14:19


트위터 암호 초기화 메일에서 페이스북 초기화 메일로 변경되었습니다.

페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com


발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

- open.html
:
http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895

발신지 :
Skype

제목 :
Problem with your payment

내용 :
Hi there (수신자 아이디),

Unfortunately, your payment failed, but dont worry, we didnt deduct any money from your card.

Here are your order details:

- Skype Name: (수신자 아이디)
- Total amount: $40.00
- Transaction date: Wed, 16 Jun 2010 08:53:49 +0300
- Order number: 576668770
- Order status: Refused

Proceed to view full message : open attached file - Skype.html

첨부파일 :
Skype.html


사용자 삽입 이미지
Posted by viruslab
보안관련소식2010.06.15 14:19


소셜네트워크 서비스 겨냥한 스팸 공격 증가세
- 5월 전체 메일 가운데 89.81%가 스팸 메일
- 사용자간 신뢰도가 높은 소셜네트워크 서비스를 악용한 스팸 공격 급증

symantec.com

사실 트위터, 페이스북 등을 통한 Spam Mail, 악성코드 유포 등이 어제 오늘 일은 아니죠!



사용자 삽입 이미지

시만텍(www.symantec.com)이 2010년 5월 한 달 동안 전세계 스팸 및 피싱 동향을 조사 분석한 ‘시만텍 월간 스팸 및 피싱 현황 보고서’ 6월호를 통해 소셜네트워크 서비스 (Social Network Service)를 노린 스팸 공격이 급증하고 있어 사용자들의 주의가 요구된다고 밝혔다.

현재 전세계적으로 4억 명의 사용자를 확보하고 있는 SNS는 기업과 기업, 사람과 사람이 사회화돼 서로 정보를 교환하고, 새로운 가치를 창조하면서 기존의 물리적인 시간과 공간, 관계의 경계를 허무는 메가 트렌드로 자리잡았다.

하지만 이러한 속성으로 인해 SNS는 사이버 범죄자들에게 강력한 공격 매개체로 인기를 끌고 있다. SNS를 통해 손쉽게 악성 코드나 악성 링크를 퍼뜨릴 수 있으며, 다양한 피싱 공격도 가능하다. 이는 SNS가 온라인 범죄활동에 가장 좋은 표적이 되는 사용자 수와 사용자간의 높은 신뢰도 등 두 가지 요건을 모두 충족하기 때문이다.

예를 들어, 스팸 공격자들이 SNS 웹사이트에서 발송하는 메시지와 유사한 스팸 메시지를 만들어 전송하게 되면 대부분의 사용자들은 별다른 의심없이 메시지 상의 URL 링크를 클릭해 공격자들이 만들어 놓은 악의적인 웹사이트를 방문하게 된다.

이 같은 방법으로 스팸 공격자들은 URL 평판에 기반한 필터링 방식을 우회할 수 있으며, 악용된 도메인에 위치한 HTML 파일을 스팸 컨텐츠를 전송하는 수단으로 이용할 수도 있다. 또한 친구, 지인 간의 친밀한 인간관계로 이어지는 SNS의 특성상 사용자들의 스팸 메시지에 대한 의심이 다소 느슨하다는 점 역시 스팸 증가의 주요 원인으로 분석된다.

시만텍이 파악한 SNS에 대한 스팸 공격자들의 공격 유형은 다음과 같다.

- 가짜 초대: SNS의 인지도를 이용, 가짜 초청장을 개발해 사용자들에게 메시지를 발송, 악의적인 스팸 웹사이트로 유도

- 계정 통합: 알림 메시지를 사칭해 사용자에게 계정 통합을 내세워 개인 정보 탈취

- 사진 관련 댓글: 합법적인 SNS 웹사이트의 사진 관련 댓글 알림창을 만들어 사용자에게 전송하고 메시지 상의 URL 링크를 클릭해 스팸 웹사이트로 이동하도록 유도

- 애플리케이션 정보: SNS 웹사이트에서 제공되는 인기게임 등의 정보를 알려준다고 위장

- 악성코드 유포: 악성코드를 퍼뜨리기 위한 다양한 스팸 메시지 등장. 일례로 SNS 툴바 다운로드 안내 메시지로 가장한 트로이목마 바이러스가 탐지되기도 함

- 개인 사생활보호: 개인 사생활보호를 위해 개인정보 관리 실태에 대한 조사가 필요하다고 속이며 개인정보 요구

- 가짜 설문조사: SNS 사용자 대상 설문조사로 위장한 메시지를 통해 사용자들에게 개인 정보 공유를 요청하거나 스팸 웹사이트로의 방문을 유도

이처럼 SNS 사용자를 겨냥한 스팸 피해를 예방하기 위해 시만텍은 이메일 정보를 요구하는 웹사이트는 먼저 신뢰할 만한 곳인지 체크해야 하며, 의심가는 이메일이나 인터넷 메신저 상의 링크는 직접 클릭하지 말 것을 당부했다. 또한 업데이트를 통해 운영체제를 항상 최신 상태로 유지하고, 개인정보나 금융관련 정보, 또는 비밀번호를 묻는 이메일에는 절대 응하지 말아야 한다고 조언했다. 

 

Posted by viruslab
신종악성코드정보2010.06.15 12:59


트위터 암호 초기화 메일에서 페이스북 초기화 메일로 변경되었습니다.

트위터 암호 초기화 위장 내용 보기
Reset your Twitter password
viruslab.tistory.com

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

- open.html :
http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882

제목 :
Reset your Facebook password

내용 :
Hey there.

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Yours,
Facebook=

첨부파일 :
facebook_newpass.html



사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.06.10 09:33


페이스북 내용 위장 악성코드 유포 기법
안젤리나 졸리가 보낸 내용으로 특정 링크 접속 유도
viruslab.tistory.com

요즘 Twitter 나 Facebook 같은 SNS 를 악용한 악성코드 유포, 광고 메일 전파 등이 증가하는 것으로 보여집니다.

대부분 마치 트위터나 페이스북에서 발송한 것처럼 위장하고 있으니, 각별히 조심하시면 좋겠네요.

오늘 발견된 내용을 하나 더 소개해 드립니다.

보낸 사람 :
Facebook <- 허위로 위장하고 있는 것입니다.

제목 :
You have 1 unread message(s)... <- 읽지 않은 메시지가 있다고 속이며, "1" 이라는 숫자는 가변적입니다.

본문 :
Facebook sent you a message. <- 본문에 페이스북 링크처럼 위장된 URL 주소를 통해서 다른 사이트로 연결합니다.

Facebook
Subject: Unread message(s)  

To read this message, follow the link below:
http://www.facebook.com/n/?inbox/readmessage.php&t=1692713530957&mid=2e3802dceaca3791d50c13012872f7


사용자 삽입 이미지

신규 메시지를 볼려면 페이스북 링크를 클릭하도록 유도하며, 실제 해당 사이트는 브라질의 광고 사이트로 1차 링크되어 있고, 다시 캐나다 비아그라 판매 사이트로 연결됩니다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.07 11:54


마치 안젤리나 졸리가 페이스북 친구 추가를 요청한 것처럼 위장한 메일이 국내에 유입되었습니다.

현재 링크되어 있는 곳이 정상적으로 차단되어 정확한 확인은 어렵지만, 광고나 악성코드 유포에 악용하고 있는 것으로 추정됩니다.

이처럼 최근 각종 SNS 내용으로 위장한 악성코드 메일 등이 지속적으로 발견되고 있으니, 트위터나 페이스북 사용자분들은 각별히 주의하셔야 겠습니다.

제목 :
Angelina Jolie invited you to join Facebook...

내용 :
facebook
Hi,
The following person invited you to be their friend on Facebook:
Angelina Jolie Angelina Jolie
Invite sent:
Mon, 7 Jun 2010 07:27:11 +0700
 


Facebook is a great place to keep in touch with friends, post photos, videos and create events. But first you need to join! Sign up today to create a profile and connect with the people you know.
Thanks,
The Facebook Team

Already have an account? Add this email address to your account here.
Facebook is free and anyone can join.
Sign Up
To sign up for Facebook, follow the link below:
http://www.facebook.com/r.php?7495232423978943375986892225019386098068


사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2009.08.07 09:32
신종악성코드정보2009.05.28 17:46


국내보다는 해외쪽에서 더 많이 사용되고 있는 페이스북(Face Book)을 이용하는 악성코드가 최근 증가세를 보이고 있다.

사용자 삽입 이미지

먼저 특정 URL 링크가 페이스북 사용자에게 전달되어 진다.

사용자 삽입 이미지

수신된 URL 링크를 클릭하면 You Tube 동영상 사이트로 위장한 곳으로 연결되고, 가짜 동영상 플레이 화면을 보여준다.

사용자 삽입 이미지

동영상 플레이에 필요한 프로그램처럼 보이도록 한 후 악성코드 setup.exe 를 다운로드하고 실행하도록 유도한다.

사용자 삽입 이미지

최근에는 Virut 변종 바이러스가 IRC 채널을 통해서 Koobface 악성코드를 유포하고 있기도 하다.

Koobface 라는 진단명은 Face Book 에서 따온 것이다.

Face Book -> Face Koob(Book 거꾸로 표기) -> Koob Face -> Koobface


Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.05.27 Net-Worm.Win32.Koobface!IK
AhnLab-V3 5.0.0.2 2009.05.27 -
AntiVir 7.9.0.168 2009.05.27 TR/Downloader.Gen
Antiy-AVL 2.0.3.1 2009.05.27 Trojan/Win32.heuristic
Authentium 5.1.2.4 2009.05.27 W32/Trojan-Sml-SDCW!Eldorado
Avast 4.8.1335.0 2009.05.26 Win32:Koobface-G
AVG 8.5.0.339 2009.05.27 Generic13.AWHV
BitDefender 7.2 2009.05.27 -
CAT-QuickHeal 10.00 2009.05.27 Win32.Backdoor.Phdet.gen!A.3
ClamAV 0.94.1 2009.05.27 Worm.Koobface-20
Comodo 1203 2009.05.26 -
DrWeb 5.0.0.12182 2009.05.27 -
eSafe 7.0.17.0 2009.05.27 Win32.TRDownloader
eTrust-Vet 31.6.6524 2009.05.27 Win32/Koobface.CK
F-Prot 4.4.4.56 2009.05.27 W32/Trojan-Sml-SDCW!Eldorado
F-Secure 8.0.14470.0 2009.05.27 Net-Worm:W32/Koobface.gen!A
Fortinet 3.117.0.0 2009.05.27 PossibleThreat
GData 19 2009.05.27 Win32:Koobface-G
Ikarus T3.1.1.57.0 2009.05.27 -
K7AntiVirus 7.10.745 2009.05.26 -
Kaspersky 7.0.0.125 2009.05.27 Net-Worm.Win32.Koobface.ko
McAfee 5627 2009.05.26 -
McAfee+Artemis 5627 2009.05.26 Artemis!D7C0DA20D24D
McAfee-GW-Edition 6.7.6 2009.05.27 Trojan.Downloader.Gen
Microsoft 1.4701 2009.05.27 Worm:Win32/Koobface.gen!D
NOD32 4108 2009.05.27 Win32/Koobface.NBG
Norman 6.01.05 2009.05.27 -
nProtect 2009.1.8.0 2009.05.27 -
Panda 10.0.0.14 2009.05.26 Trj/CI.A
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.27 High Risk Worm
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.27 W32/Koobfa-Gen
Sunbelt 3.2.1858.2 2009.05.27 Net-Worm.Win32.Koobface.gen
Symantec 1.4.4.12 2009.05.27 W32.Spybot.Worm
TheHacker 6.3.4.3.332 2009.05.26 -
TrendMicro 8.950.0.1092 2009.05.27 PAK_Generic.001
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.27.1757 2009.05.27 -
VirusBuster 4.6.5.0 2009.05.26 -
Additional information
File size: 14848 bytes
MD5   : d7c0da20d24d85808ca32eee54f3a180
SHA1  : 920bb8862d6ae0e4985f700a94c0565cfe6a7025
SHA256: 312923860f1537ccfbeece6aa67eaa5f556e4924ef2be8c6bc755545487cb38f

계속해서 변종이 유포되고 있다.

http://www.virustotal.com/analisis/312923860f1537ccfbeece6aa67eaa5f556e4924ef2be8c6bc755545487cb38f-1243429596

http://www.virustotal.com/analisis/ec61b62766094a8e0ebe7c16393b4d0e898b1a47a6f0acaf3a31730e7f6bcbc5-1243511792

http://www.virustotal.com/analisis/ac30a26b134a8592a93d0efe92d0bb430870d5a8607ebad911ad41305eb9cb9b-1243462514

http://www.virustotal.com/analisis/6ca503751a47ad07220a069724bde5763ca8766177b65f70f36eefa0535a732a-1243462520

Posted by viruslab