태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.07.08 09:18


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- Forwarded message.html : http://viruslab.tistory.com/1953
- The results of your email commands.html : http://viruslab.tistory.com/1953

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

오늘은 기존에 발견되었던 "Forwarded Message.html", "The results of your email commands.html" 파일을 첨부한 형태가 발견되었는데, 내용은 기존과 다소 다르게 변형되었습니다.


Posted by viruslab
신종악성코드정보2010.06.17 11:20


트위터 암호 초기화 메일로 위장한 형태가 계속해서 변형되어 전 세계적으로 전파되고 있습니다.
사용자 분들은 각별히 주의하셔야 할 것 같습니다. 그리고.. 광고 수익을 위한 본색을 드러내기 시작했습니다.

매일 변종이 보고되고 있으니 아래 내용도 참고하시고요!


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com


발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

기존과 동일한 내용과 첨부파일명이더라도 스크립트 코드가 변형되어 유포되고 있기 때문에 Anti-Virus 에서 모든 첨부파일을 탐지하지 못할 수 있습니다.

조금 전 국내에 추가 유입된 내용이 어떻게 변경되었는지 살펴보았습니다.

제목 :
Reset your Twitter password

내용 :
Hi, (수신자 이메일).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.


The Twitter Team

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.

첨부파일 :
open.htm


보통 예전 변종들은 html 확장자를 썼지만 이번것은 htm 으로 변경되어 있는 것이 조금 다르네요.

첨부되어 있는 open.htm 파일은 기존 Anti-Virus 패턴에서 진단하지 못하도록 또 수정을 하였군요.

사용자 삽입 이미지

open.htm 파일이 실행되면 (생략)vehost.com 이라는 도메인의 zx.htm 파일이 연결됩니다.

사용자 삽입 이미지

이 사이트에는 잠시 열렸다가 다른 사이트로 다시 재연결이 되는데, 악성코드 제작 유포자는 아무래도 중간에 광고수입을 노린 것으로 보입니다.

왜냐하면 zx.htm 링크에 "구글 광고(애드센스)"가 포함되어 있기 때문이죠.

사용자 삽입 이미지

이후에 시계 등을 판매하는 사이트로 연결되어, 해당 사이트를 대신 홍보, 광고해 주고 있습니다.

악성코드 유포자는 광고 노출이나 홍보비 등의 수익을 노리고 있다는 것을 짐작해 볼 수 있는 대목이죠.

사용자 삽입 이미지

이 처럼 악성코드 제작 유포자는 금전적 수익을 얻기 위해서 봇넷을 통해서 광고용 스팸메일을 대신 발송해 주거나 허위 보안 제품(Fake AV) 등을 다량 배포해 주고 있기도 합니다.


그것은 이미 충분히 악성코드에 감염되어 있는 Zombie PC 와 BotNet 을 통한 C&C 기능이라고 보면 되겠지요.

뭐 이제는 잘 아시겠지만 비아그라 성인약품 광고는 아주 기본이겠지요.

결론..

악성코드 제작 목적 = 돈 = 범죄


사용자 삽입 이미지

Posted by viruslab