태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009.08.28 09:28


아래와 같이 동영상 아이콘과 화면보호기 확장자를 이용한 Zbot 변종이 해외쪽에서 다수 보여지고 있습니다.

사용자 삽입 이미지

변종들 중 하나를 확인해 봤습니다.

실행이 되면 Temp 폴더에 sexysexy.avi 랜덤한 알파벳 조합의 EXE 파일이 하나 생깁니다.

그리고 sexysexy.avi 라는 파일이 실행 시도되면서 화면에는 다음과 같이 윈도우 미디어 플레이어 재생 시도가 진행됩니다. 물론 avi 재생 연결 프로그램이 실행되는 것이겠죠.

사용자 삽입 이미지

해당 파일을 확인해 본 결과 실제 동영상 포맷은 아니며, Null 값 5바이트로 구성된 별 의미없는 파일이었습니다. 다만, 확장자가 AVI 이다보니 재생 시도 화면이 나타나게 됩니다.

이젠 악성코드가 말도 안돼는 동영상처럼 사용자를 속일려고 하네요.

속지말자! 악성코드!

Posted by viruslab
신종악성코드정보2009.06.26 12:41


[기존 정보]
http://viruslab.tistory.com/834

이번 변종 메일에는 ecard.htm 이라는 파일이 첨부되어 있으며, 본문에도 링크가 포함되어 있습니다.

사용자 삽입 이미지



Posted by viruslab
신종악성코드정보2009.06.25 14:48



e-card 내용으로 국내에 유포중인 Zbot 변종이다.

다음과 같은 메일 형식으로 전파되고 있으며, 본문에 포함된 URL 주소 링크를 통해서 악성코드 감염을 유도하고 있다.

사용자 삽입 이미지


제목 : Your friend has made you an greeding e-card at 123greetings.com

내용 :

Dear (생략).co.kr,

Your friend has made you an greeding e-card

Your e-card will be available with us for the next 30 days. If you wish to keep
the e-card longer, you may save it on your computer or take a print.

To view a copy of the e-card you have sent click on the following Internet address or
copy & paste it into your browser's address box.

http://76380.(생략)jellow.exe

Best wishes,

Postmaster,


Posted by viruslab
신종악성코드정보2009.06.25 09:03


일명 Zbot 변종으로 최근 유포되는 형태 중 오피스 패치 파일로 위장한 형태는 오늘까지 변종 3종류를 발견하였다.

[변종 정보]
http://viruslab.tistory.com/823

사용자 삽입 이미지

오피스 업데이트 파일처럼 위장하고 있는 것이 특징이며, Zbot 을 매우 다양한 형태로 유포되고 있는데 대표적으로 UPS, Fedex 운송장 내역이나 신용카드 거래 내역서 처럼 위장하고 있다.

제목과 링크는 다음과 같다.

"Critical Update for Microsoft Outlook"
"Install Critical Update for Microsoft Outlook"
"Microsoft Outlook Critical Update"
"Microsoft has released an update for Microsoft Outlook"
"Update for Microsoft Outlook"

update.microsoft.com.llik1i.com
update.microsoft.com.illl1i1.com
update.microsoft.com.llikhi.net
update.microsoft.com.ilfl1i1.net
update.microsoft.com.il1il1.com.mx
update.microsoft.com.il1if1.com.mx

officexp-KB910721-FullFile-ENU.exe

MD5 Hash

a61147f4b480d550204128fdf4eb3bcd
7504f1f838990f46dad3b74cf1149eea
abadbbb846c07f71d4fb16dbde1cb561

Posted by viruslab