태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.10.01 10:24


컴퓨터 사용자의 바이러스 검사 유도 내용으로 위장한 악성 이메일이 국내에 유입되어 전파되고 있어 각별한 주의가 필요합니다.

마치 수신자의 컴퓨터를 온라인으로 검사해 주는 것처럼 위장한 사이트를 보여주고, Anti-Virus 설치 프로그램으로 위장한 허위 보안 제품을 설치하도록 하여 과금 결제를 유도하는 방식입니다.

아래 내용 참고하시어 각별히 주의하시면 좋겠습니다.

제목 :
Re: Check on viruses

내용 :
Check on viruses is more detailed...

이메일에는 첨부파일이 별도로 존재하지 않으며, 본문 내용에 특정 사이트로 연결시켜 악성 파일을 설치 유도하는 방식을 사용한다.

사용자 삽입 이미지
 
본문에 포함된 링크 주소를 사용자가 클릭하면 새로운 사이트로 연결이 시도되고, 다음과 같이 사용자에게 가짜 악성 코드 검출 경고 메시지를 보여줍니다.

사용자 삽입 이미지

버튼을 누르게 되면 다음과 같이 악성 사이트로 연결되어, 마치 온라인으로 악성파일 검사를 하는 것 같이 조작된 재생 화면을 보여주어 사용자를 현혹시킵니다.

사용자 삽입 이미지

검사 도중이나 종료 후에 Remove all 과 같은 부분을 클릭하면 다음과 같이 보안제품의 install 파일처럼 위장한 악성 파일이 다운로드 시도됩니다.

사용자 삽입 이미지
사용자 삽입 이미지

inst.exe 가 실행되면 다음과 같이 "Security Tool" 이라는 허위 Anti-Virus 제품 설치 완료 메시지 창이 보여지고, 스스로 검사를 시작합니다.

사용자 삽입 이미지

다음과 같이 검사를 진행하고, 허위로 악성 파일에 감염되었다는 메시지 창과 함께 과금 결제를 유도하게 됩니다.

사용자 삽입 이미지

해당 악성 프로그램은 현재 국내에 지속적으로 유입이 되고 있어, 피해가 우려되오니 인터넷 사용자분들은 각별히 주의를 하셔야 겠습니다.

과금 결제 화면으로 변경될 경우 사용자가 바탕화면을 정상적으로 사용하지 못하도록 결제 창을 전체 화면 최상위 조건으로 강제화하여 매우 불편하게 만듭니다.

따라서 컴퓨터 사용에 불편을 느낀 많은 이용자들이 결제를 하게되는 피해를 입는 형태입니다.


잉카인터넷 nProtect Anti-Virus 2010년 10월 01일자 제품에서 진단/치료가 가능합니다.

일명 허위 보안 제품(Fake AV)는 지속적으로 변종이 개발되어 유포되고 있기 때문에 항상 신속한 업데이트가 요구됩니다.



Posted by viruslab
신종악성코드정보2010.06.21 08:08


마치 악성코드(Conficker)에 감염되어 있다는 내용을 마이크로 소프트사가 발송한 것처럼 위장한 내용의 악성코드 전파 메일이 국내에 유입되었으니 조심하시기 바랍니다.

이 내용은 기존에 "Statement.of fees 2010" 제목의 악성코드 메일에 포함되어 있었던 첨부파일과 동일합니다. 따라서 동일한 제작자가 유포 중인 것으로 추정됩니다.

Statement.. 로 위장한 악성코드
Statement.of fees 2010
viruslab.tistory.com

제목 :
Your Computer has probably been infected

내용 :
Dear Microsoft Customer,

Starting 17/06/2010 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.

To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.

Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.

Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division

첨부파일 :
setup.zip



사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.17 11:20


트위터 암호 초기화 메일로 위장한 형태가 계속해서 변형되어 전 세계적으로 전파되고 있습니다.
사용자 분들은 각별히 주의하셔야 할 것 같습니다. 그리고.. 광고 수익을 위한 본색을 드러내기 시작했습니다.

매일 변종이 보고되고 있으니 아래 내용도 참고하시고요!


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com


발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

기존과 동일한 내용과 첨부파일명이더라도 스크립트 코드가 변형되어 유포되고 있기 때문에 Anti-Virus 에서 모든 첨부파일을 탐지하지 못할 수 있습니다.

조금 전 국내에 추가 유입된 내용이 어떻게 변경되었는지 살펴보았습니다.

제목 :
Reset your Twitter password

내용 :
Hi, (수신자 이메일).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.


The Twitter Team

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.

첨부파일 :
open.htm


보통 예전 변종들은 html 확장자를 썼지만 이번것은 htm 으로 변경되어 있는 것이 조금 다르네요.

첨부되어 있는 open.htm 파일은 기존 Anti-Virus 패턴에서 진단하지 못하도록 또 수정을 하였군요.

사용자 삽입 이미지

open.htm 파일이 실행되면 (생략)vehost.com 이라는 도메인의 zx.htm 파일이 연결됩니다.

사용자 삽입 이미지

이 사이트에는 잠시 열렸다가 다른 사이트로 다시 재연결이 되는데, 악성코드 제작 유포자는 아무래도 중간에 광고수입을 노린 것으로 보입니다.

왜냐하면 zx.htm 링크에 "구글 광고(애드센스)"가 포함되어 있기 때문이죠.

사용자 삽입 이미지

이후에 시계 등을 판매하는 사이트로 연결되어, 해당 사이트를 대신 홍보, 광고해 주고 있습니다.

악성코드 유포자는 광고 노출이나 홍보비 등의 수익을 노리고 있다는 것을 짐작해 볼 수 있는 대목이죠.

사용자 삽입 이미지

이 처럼 악성코드 제작 유포자는 금전적 수익을 얻기 위해서 봇넷을 통해서 광고용 스팸메일을 대신 발송해 주거나 허위 보안 제품(Fake AV) 등을 다량 배포해 주고 있기도 합니다.


그것은 이미 충분히 악성코드에 감염되어 있는 Zombie PC 와 BotNet 을 통한 C&C 기능이라고 보면 되겠지요.

뭐 이제는 잘 아시겠지만 비아그라 성인약품 광고는 아주 기본이겠지요.

결론..

악성코드 제작 목적 = 돈 = 범죄


사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.06.09 09:00


마치 YouTube 서비스 메일 처럼 위장한 유해성 메일이 국내에 유입되었습니다.

해당 메일은 YouTube 에서 발신한 것으로 속이고 있으며, 본문에 포함되어 있는 다수의 URL Link 주소를 통해서 악성코드 유포, 비아그라 광고, 허위 보안제품 유포 등으로 추정되는 또 다른 사이트로 연결을 시도합니다.

이번에 발견된 링크는 기존에 트위터 위장, 안젤리나 졸리 위장 메일, eCard 축하 메일 등이 공통적으로 사용하고 있으며, 이것을 보아서 동일한 악성코드 제작자에 의해서 배포되고 있는 것으로 추정됩니다.

트위터 위장 배포 메일
트위터 메일로 위장하여
악성코드 유포 및 비아그라 광고
viruslab.tistory.com

안젤리나 졸리 페이스북 연결 위장 메일
Angelina Jolie invited you to join
Facebook...
viruslab.tistory.com

eCard 축하 카드 메일로 위장한 악성코드 메일
ecard 축하 카드 메일로 위장
viruslab.tistory.com

제목과 내용 중 일부 문구가 다른 변종 메일도 다수 존재합니다.

The user Annie suggests you to become friends!
The user Jannie suggests you to become friends!
The user Horacio suggests you to become friends!
The user Jeffery suggests you to become friends!
The user Kristie suggests you to become friends!

제목 :
The user Arnold suggests you to become friends!

내용 :
The user Mia suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also simplifies video departure by all or to the selected users. To accept or reject this invitation, pass in INBOX
 
© 2010 YouTube, LLC
901 Cherry Ave, San Bruno, CA 94066 

위험 소지를 최소화하기 위하여 본문에 포함되어 있는 링크 주소는 임의로 제거하였습니다.

사용자 삽입 이미지

1.htm 파일이 존재하는 링크는 분석 시점 당시 정상적으로 연결되지 않았지만, 또 다른 링크로 변경될 가능성이 매우 높습니다.

따라서 이러한 이메일을 받을 경우 링크된 주소를 유심히 살펴보시고, 의심되는 경우 절대로 연결하지 않도록 하시는 것이 잠재적인 보안 위협으로 부터 안전하실 수 있습니다.


Posted by viruslab