태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.12.13 08:50


다음과 같이 실제 페이스북 친구가 보낸 것처럼 위장한 메일이 국내에 유입된 것이 확인되었습니다.

현재니는 링크가 되어 있는 gong.html 파일이 정상적으로 열리지 않아 추가적인 코드가 실행되지는 않으나, 이렇게 조작된 이메일은 잠재적인 보안 위협에 노출될 가능성이 높습니다.

페이스북 이용자분들은 이러한 점을 유념해 주시고, 이메일 본문에 포함된 링크가 실제 내용과 동일한 곳인지 꼭 확인해 보는 습관을 가져주신다면 도움이 될 듯 싶습니다.

사용자 삽입 이미지

본문에 포함되어 있는 다수의 링크가 Facebook 도메인이 아닌 다른 사이트로 연결되어 있는 것을 볼 수 있습니다.


Posted by viruslab
신종악성코드정보2010.09.15 08:42


페이스북의 암호 변경 이메일로 위장한 악성 파일 전파 내용이 해외에서 발견되었습니다.

아래와 같은 내용의 이메일을 수신하실 경우 첨부파일을 실행하지 않도록 조심하시면 좋겠습니다.

제목 :
Your facebook password has been changed

내용 :
Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.

첨부파일 :
Facebook_document.zip



압축 첨부파일은 여러가지 형태로 유포되고 있으며, 내부에는 Facebook_document.exe 파일을 포함하고 있습니다.

사용자 삽입 이미지

악성 파일의 진단 현황은 아래와 같고, nProtect Anti-Virus 9월 15일자 패턴부터 치료가 가능합니다.

http://www.virustotal.com/file-scan/report.html?id=76ca3fa0c12b599f5dd786fd21a3a01aac87cb5d4c5ce00fae7049175c9704a7-1284501110

Antivirus Version Last Update Result
AhnLab-V3 2010.09.15.00 2010.09.14 -
AntiVir 8.2.4.52 2010.09.14 -
Antiy-AVL 2.0.3.7 2010.09.14 -
Authentium 5.2.0.5 2010.09.14 W32/Bredolab.GO
Avast 4.8.1351.0 2010.09.14 -
Avast5 5.0.594.0 2010.09.14 -
AVG 9.0.0.851 2010.09.14 Dropper.Generic2.AWSD
BitDefender 7.2 2010.09.14 Trojan.Generic.KDV.36924
CAT-QuickHeal 11.00 2010.09.14 -
ClamAV 0.96.2.0-git 2010.09.14 -
Comodo 6076 2010.09.14 -
DrWeb 5.0.2.03300 2010.09.14 Trojan.Oficla.48
Emsisoft 5.0.0.37 2010.09.14 -
eSafe 7.0.17.0 2010.09.14 -
eTrust-Vet 36.1.7855 2010.09.14 -
F-Prot 4.6.1.107 2010.09.14 W32/Trojan3.BZR
F-Secure 9.0.15370.0 2010.09.14 Trojan-Downloader:W32/Oficla.IC
Fortinet 4.1.143.0 2010.09.13 -
GData 21 2010.09.14 Trojan.Generic.KDV.36924
Ikarus T3.1.1.88.0 2010.09.14 -
Jiangmin 13.0.900 2010.09.14 -
K7AntiVirus 9.63.2512 2010.09.14 -
Kaspersky 7.0.0.125 2010.09.14 -
McAfee 5.400.0.1158 2010.09.14 Artemis!DE52C0B214DD
McAfee-GW-Edition 2010.1B 2010.09.14 Artemis!DE52C0B214DD
Microsoft 1.6103 2010.09.14 TrojanDropper:Win32/Oficla.T
NOD32 5451 2010.09.14 -
Norman 6.06.06 2010.09.14 -
nProtect 2010-09-14.01 2010.09.14 -
Panda 10.0.2.7 2010.09.14 Suspicious file
PCTools 7.0.3.5 2010.09.14 Trojan.Sasfis
Prevx 3.0 2010.09.14 Medium Risk Malware Dropper
Rising 22.65.01.04 2010.09.14 -
Sophos 4.57.0 2010.09.14 Troj/Mdrop-CWY
Sunbelt 6876 2010.09.14 -
SUPERAntiSpyware 4.40.0.1006 2010.09.14 -
Symantec 20101.1.1.7 2010.09.14 -
TheHacker 6.7.0.0.017 2010.09.14 -
TrendMicro 9.120.0.1004 2010.09.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.14 -
VBA32 3.12.14.0 2010.09.14 -
ViRobot 2010.8.25.4006 2010.09.14 Trojan.Win32.Oficla.32768
VirusBuster 12.65.6.0 2010.09.14 -



Posted by viruslab
신종악성코드정보2010.08.09 10:35


페이스북 발송 위장 악성코드 첨부파일 형태 내용 보기
facebook 에서 발송한 것으로 위장한 악성코드 정보
viruslab.tistory.com


마치 페이스북(Facebook)에서 발송한 메시지 내용처럼 위장한 유해 가능 이메일이 국내에 유입되었습니다.

악성코드 파일이 첨부되어 있는 형태는 아니며, 본문에 포함되어 있는 다수의 URL 링크를 클릭하면 Facebook 이 아닌 또 다른 악성코드 유포 시도 도메인으로 연결을 시도합니다.

아래 내용 참고하시고, 이러한 메일을 수신하실 경우 각별히 조심하시는 것이 좋겠습니다.

보통 이러한 형태의 Spam E-Mail 은 또 다른 악성코드를 추가적으로 설치하거나, 사용자 정보 유출(계정, 암호 등) 시도 등을 하게 됩니다.

제목 :
You have notifications pending

내용 :

facebook 
Hi,
You haven't been back to Facebook recently. You have received notifications while you were gone.
 
4 messages 

Thanks,
The Facebook Team Sign in to Facebook and start connecting
Sign In
 
To login to Facebook, follow the link below:
http://www.facebook.com/n/?find-friends%2F&mid=069f1f48b3e664422ad70cc73c0181&bcode=wtKxK&n_m=(수신자 주소).co.kr
 
This message was intended for (수신자 계정).co.kr. If you do not wish to receive this type of email from Facebook in the future, please click here to unsubscribe.
Facebook, Inc. P.O. Box 10005, Palo Alto, CA 94303


사용자 삽입 이미지




Posted by viruslab
보안관련소식2010.06.16 16:49


http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

■ SNS 악성코드 소통의 창구로 악용 주의

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

사용자 삽입 이미지

 트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

사용자 삽입 이미지

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)

사용자 삽입 이미지

2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.

사용자 삽입 이미지

본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

사용자 삽입 이미지
 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.

사용자 삽입 이미지


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.

사용자 삽입 이미지

본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다.

※ 피싱(Phishing)이란?

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다.

사용자 삽입 이미지

최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.

사용자 삽입 이미지
 
버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.

사용자 삽입 이미지

여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.15 12:59


트위터 암호 초기화 메일에서 페이스북 초기화 메일로 변경되었습니다.

트위터 암호 초기화 위장 내용 보기
Reset your Twitter password
viruslab.tistory.com

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

- open.html :
http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882

제목 :
Reset your Facebook password

내용 :
Hey there.

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Yours,
Facebook=

첨부파일 :
facebook_newpass.html



사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.07 11:54


마치 안젤리나 졸리가 페이스북 친구 추가를 요청한 것처럼 위장한 메일이 국내에 유입되었습니다.

현재 링크되어 있는 곳이 정상적으로 차단되어 정확한 확인은 어렵지만, 광고나 악성코드 유포에 악용하고 있는 것으로 추정됩니다.

이처럼 최근 각종 SNS 내용으로 위장한 악성코드 메일 등이 지속적으로 발견되고 있으니, 트위터나 페이스북 사용자분들은 각별히 주의하셔야 겠습니다.

제목 :
Angelina Jolie invited you to join Facebook...

내용 :
facebook
Hi,
The following person invited you to be their friend on Facebook:
Angelina Jolie Angelina Jolie
Invite sent:
Mon, 7 Jun 2010 07:27:11 +0700
 


Facebook is a great place to keep in touch with friends, post photos, videos and create events. But first you need to join! Sign up today to create a profile and connect with the people you know.
Thanks,
The Facebook Team

Already have an account? Add this email address to your account here.
Facebook is free and anyone can join.
Sign Up
To sign up for Facebook, follow the link below:
http://www.facebook.com/r.php?7495232423978943375986892225019386098068


사용자 삽입 이미지


Posted by viruslab