태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'resume.html'에 해당되는 글 1건

  1. 2010.08.19 "resume.html" 악성 파일이 포함되어 있는 이메일 국내 유입
신종악성코드정보2010.08.19 09:02


지속적으로 악성 html 파일이 첨부된 이메일이 국내에 유입되고 있으며, 대부분 외산 허위 Anti-Virus 제품 설치를 유도하거나, 광고 사이트 등으로 리다이렉션 시키고 있습니다.

또는 새로운 악성코드를 설치하여 Bot Net 을 구성하는데 사용하기도 합니다.

2010년 08월 19일 새벽 4시경에 유입된 형태는 이력서 내용 처럼 위장한 것이 발견되었습니다.

아래 내용 참고하시어 이러한 메일을 수신하실 경우 절대 첨부파일을 실행하지 마시기 바랍니다.

제목 :
Resume

내용 :
Attached, please find

첨부파일 :
resume.html



사용자 삽입 이미지

첨부되어 있는 resume.html 파일은 기존과 다르게 X-HTML Encoder 를 이용하는 형태로 변경되었습니다.

사용자 삽입 이미지

자바스크립트 함수를 Decode 하면 다음과 같은 URL 주소(일부 삭제)로의 연결 기능을 가진 것을 알 수 있습니다.

사용자 삽입 이미지

현재 도메인은 계속 변경되고 있는 것으로 파악되었습니다.

x.html 파일에는 다음과 같이 또 다른 사이트로 연결을 시도하는 코드가 포함되어 있습니다.

사용자 삽입 이미지

연결되는 사이트는 외산 허위 Anti-Virus 제품 사이트로 연결됩니다.

사용자 삽입 이미지

DOWNLOAD FOR FREE 버튼을 클릭하면 다음과 같이 악성코드 감염 경고 창과 함께 제거 버튼 클릭을 유도합니다.

그 후에 아래와 같이 antivirus.exe 라는 가짜 Anti-Virus 프로그램이 다운로드 시도됩니다.

사용자 삽입 이미지

설치되는 파일 antivirus.exe 는 현재 다음과 같이 국내 대부분의 제품이 진단하지 못하고 있으며, nProtect Anti-Virus 2010년 08월 19일자 버전부터 치료가 가능합니다.

http://www.virustotal.com/file-scan/report.html?id=900ac6cac90fcae059b823f029fa3a05a391ed700a84ddd5ebb267fc4671e0a9-1282175934

Antivirus Version Last Update Result
AhnLab-V3 2010.08.19.00 2010.08.18 -
AntiVir 8.2.4.38 2010.08.18 -
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.18 W32/Katusha.D.gen!Eldorado
Avast 4.8.1351.0 2010.08.18 -
Avast5 5.0.332.0 2010.08.18 -
AVG 9.0.0.851 2010.08.18 -
BitDefender 7.2 2010.08.19 Trojan.Generic.KD.27519
CAT-QuickHeal 11.00 2010.08.18 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.08.19 -
Comodo 5784 2010.08.18 Win32.PkdKrap.AS
DrWeb 5.0.2.03300 2010.08.19 -
Emsisoft 5.0.0.37 2010.08.18 -
eTrust-Vet 36.1.7799 2010.08.18 -
F-Prot 4.6.1.107 2010.08.18 W32/Katusha.D.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.19 -
Fortinet 4.1.143.0 2010.08.18 -
GData 21 2010.08.19 -
Ikarus T3.1.1.88.0 2010.08.18 -
Jiangmin 13.0.900 2010.08.18 -
Kaspersky 7.0.0.125 2010.08.19 -
McAfee 5.400.0.1158 2010.08.19 -
McAfee-GW-Edition 2010.1B 2010.08.18 -
Microsoft 1.6004 2010.08.19 VirTool:Win32/Obfuscator.JK
NOD32 5377 2010.08.18 a variant of Win32/Kryptik.GDD
Norman 6.05.11 2010.08.18 -
nProtect 2010-08-18.01 2010.08.18 -
Panda 10.0.2.7 2010.08.18 -
PCTools 7.0.3.5 2010.08.18 Trojan.FakeAV
Prevx 3.0 2010.08.19 -
Rising 22.61.02.02 2010.08.18 -
Sophos 4.56.0 2010.08.19 Mal/FakeAV-EI
Sunbelt 6757 2010.08.19 -
SUPERAntiSpyware 4.40.0.1006 2010.08.19 -
Symantec 20101.1.1.7 2010.08.18 Trojan.FakeAV!gen32
TheHacker 6.5.2.1.351 2010.08.19 -
TrendMicro 9.120.0.1004 2010.08.18 TROJ_FAKEAV.SMDO
TrendMicro-HouseCall 9.120.0.1004 2010.08.19 TROJ_FAKEAV.SMDO
VBA32 3.12.14.0 2010.08.17 Malware-Cryptor.Win32.General.3
ViRobot 2010.8.18.3995 2010.08.18 -
VirusBuster 5.0.27.0 2010.08.18 -


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922
- message.html : http://viruslab.tistory.com/1946
- NewMessage.html : http://viruslab.tistory.com/1960
- Forwarded Message.html : http://viruslab.tistory.com/1962
- Urgent Assistance.html : http://viruslab.tistory.com/1965
- read this file.html : http://viruslab.tistory.com/1966
- Copies of the payment.html : http://viruslab.tistory.com/1973
- Second chord sounds in world's longest lasting concert - Yahoo! News.html : http://viruslab.tistory.com/2046
- invoice.html : http://viruslab.tistory.com/2047
- resume.html :  http://viruslab.tistory.com/2048

Posted by viruslab