태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010.08.25 09:39


세계 누드데이 사진 이라는 제목과 세계 3차 세계대전 이라는 허위 내용으로 악성 SPAM 메일이 국내에 유입되었습니다.

아래 내용처럼 메일 본문에 URL 등이 있을 경우 무심코 클릭하지 않도록 조심하시는 것이 좋겠습니다.

제목 :
See World Naked Day photos

내용 :
World War III is coming in 6 months
http://www.(생략)rm.ru/

사용자 삽입 이미지

메일 본문에 포함되어 있는 러시아의 특정 도메인 URL 주소를 클릭할 경우 다음과 같은 새로운 사이트가 연결되며,
성기 노출 등 매우 음란한 화면과 성인 용품 사이트가 열려지게 됩니다.(부분 모자이크 처리)

사용자 삽입 이미지

완전 포르노 수준의 SPAM 메일이라 각별히 유의하는 것이 좋겠습니다.

이런 메일은 Anti-Virus 제품에서 차단하지 못하는 경우가 많습니다. Spam Filter 등을 통해서 차단하면 좋겠습니다.

Posted by viruslab
보안관련소식2010.07.15 11:42


장례관리사 자격증 취득과 관련한 자료 신청용 Spam 성 광고 메일이 무차별적으로 배포되고 있습니다.

발신인 주소 : "장례관리사" <dkgshdghshg@yahoo.com>

해당 메일은 다음과 같이 구성되어 있으며, 본문을 클릭하면 또 다른 사이트가 연결됩니다.

사용자 삽입 이미지

"무료자료 신청하기" 부분 등을 클릭하게 되면 다음과 같은 새로운 사이트가 연결됩니다.

사용자 삽입 이미지

개인 정보를 입쳑하고 상담신청하기를 클릭하면 다음과 같이 또 다른 도메인의 그림을 보여줍니다.

사용자 삽입 이미지

도메인을 추적해 보았으나 특별히 운영되고 있는 웹 사이트는 존재하지 않았습니다.

이러한 경우 개인 정보가 유출되고 외부에 공개되어 원하지 않는 피해를 입을 수 있습니다.

발신인이 불분명하고, 연락처 등이 기재되어 있지 않는 등 신뢰하기 어려운 경우 개인 정보 입력 시 각별히 주의하시면 좋겠습니다.



Posted by viruslab
보안관련소식2010.07.14 13:24


이른바 "밤문화 소식 메일" 이라는 내용 등으로 특정 성인용 사이트와 야간 성인 업소 등을 홍보하는 Spam 성 이메일이 무차별적으로 유포되고 있어서 청소년들에게 좋지 못한 영향이 있을 것 같아 주의가 필요합니다.

특히 해당 메일에는 악성코드에 의해서 무작위로 전파된다는 어처구니 없는 내용도 표기되어 있기도 합니다.





Posted by viruslab
신종악성코드정보2010.06.23 08:56


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919
- foryou.html : http://viruslab.tistory.com/1922

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

오늘은 foryou.html 이라는 파일을 첨부한 형태이면서, 제목과 내용이 조금씩 다른 형태가 다수 국내에 유입되었습니다.

일부 메일에는 우크라이나 보안 제품인 Zillya 로 체크한 것으로 위장하고 있습니다.

http://viruslab.tistory.com/1726

제목 :
You Are My Life

내용 :
My Life With You

see attach ;)

----------------------------------------------
The message was checked by Zillya! Antivirus 1.1.2343.0, bases 2.0.0.369 - No viruses detected

첨부파일 :
foryou.html

제목 :
Through Eternity

내용 :
Jet et Amoure

see attach ;)

첨부파일 :
foryou.html

제목 :
My Husband, My Lover

내용 :
Expressions Of Love

see attach ;)

첨부파일 :
foryou.html




Posted by viruslab
신종악성코드정보2010.06.22 09:13


페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com

그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

html 파일 유포자들의 목적은 뭘까? ▶▶ http://viruslab.tistory.com/1901

- open.html : http://viruslab.tistory.com/1868
- news.html :
http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882
- Skype.html : http://viruslab.tistory.com/1895
- open.htm : http://viruslab.tistory.com/1901
- photo.html : http://viruslab.tistory.com/1906, http://viruslab.tistory.com/1907
- document.html : http://viruslab.tistory.com/1909
- loveletter.html : http://viruslab.tistory.com/1909
- doc.html : http://viruslab.tistory.com/1919
- login.html : http://viruslab.tistory.com/1919
- message.html : http://viruslab.tistory.com/1919

계속해서 이메일 내용이 변경되면서 악성코드가 유포되고 있으니 조심하시기 바랍니다.

doc.html, login.html, message.html 등의 파일명으로 변경된 것이 목격되고 있습니다.

제목 :
Hope You Got My mail?

내용 :
I have a mutual beneficial business suggestion for you.

View the attached file for more details and get back to me immediately.

Best Regards

Lyman Carrillo

첨부파일 :
doc.html

사용자 삽입 이미지

제목 :
Thank you for becoming a member on our site

내용 :
Thank you for becoming a member on our site

You have entered your email address and screen name:

Email: (수신자 메일).co.kr
Screen name: repairs08

Please login with the password you created.

In order to complete the free membership process, you must click on the attached link to activate your account:

You will have 30 days to confirm your registration or you will need to re-register on the site.

첨부파일 :
login.html


사용자 삽입 이미지

제목 :
Non-delivery notice

내용 :
Note: Forwarded message is attached.

The message was not delivered.  The following error message was generated by the server:

    550 5.1.1 User unknown

The original message is attached.

첨부파일 :
message.html

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.15 12:59


트위터 암호 초기화 메일에서 페이스북 초기화 메일로 변경되었습니다.

트위터 암호 초기화 위장 내용 보기
Reset your Twitter password
viruslab.tistory.com

현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.

- open.html :
http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879
- facebook_newpass.html : http://viruslab.tistory.com/1882

제목 :
Reset your Facebook password

내용 :
Hey there.

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Yours,
Facebook=

첨부파일 :
facebook_newpass.html



사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.15 09:38


기존의 생일 축하용 E-Card 메일의 내용이 조금 변경되어 악성코드를 유포하는 메일 형태로 변경되었습니다.


현재까지 다음과 같은 첨부파일 형태가 발견되었습니다.

- open.html : http://viruslab.tistory.com/1868
- news.html : http://viruslab.tistory.com/1874
- index.html : http://viruslab.tistory.com/1877
- ecard.html : http://viruslab.tistory.com/1879

제목 :
(수신자 주소) has sent you a birthday ecard.

내용 :
[(수신자 주소)] just sent you an ecard

You can view it by open attached document.

Your ecard is going to be with us for the next 30 days.

We hope you enjoy your ecard.

첨부파일 :
ecard.html


사용자 삽입 이미지

Posted by viruslab
신종악성코드정보2010.06.11 09:29


유사 변형 정보 꼭 보기
open.html 파일로 pdf 취약점 악성코드 유포 중
viruslab.tistory.com

현재 다량의 Zombie PC를 만들거나 Bot Net 구성, Spam Mailer 등으로 악용하고 있으니, 이러한 메일을 받으시면 절대 첨부파일을 실행하지 마시고 삭제하시면 좋겠습니다.

제목 :
New discounts daily

내용 :
We have chosen the best for you

첨부파일 :
open.html



사용자 삽입 이미지

open.html 파일을 클릭하면 캐나다 비아그라(Canadian Pharmacy) 사이트로 연결되거나, PDF 취약점을 이용한 악성코드 유포 사이트 등으로 연결되기도 합니다.

사용자 삽입 이미지

open.html 파일을 통해서 유포되었던 PDF 취약점 파일 진단 현황

nProtect Anti-Virus 치료 기능을 추가할 예정입니다.

http://www.virustotal.com/analisis/1b45ac7cb87da055d1b069c30352051fd3365a1225cc0b82e091a05584957b02-1276214381

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.10 -
AhnLab-V3 2010.06.10.02 2010.06.10 -
AntiVir 8.2.2.6 2010.06.10 EXP/Pidief.10686
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.10 -
Avast 4.8.1351.0 2010.06.10 -
Avast5 5.0.332.0 2010.06.10 -
AVG 9.0.0.787 2010.06.10 -
BitDefender 7.2 2010.06.10 -
CAT-QuickHeal 10.00 2010.06.10 -
ClamAV 0.96.0.3-git 2010.06.10 -
Comodo 5055 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7627 2010.06.10 -
F-Prot 4.6.0.103 2010.06.09 -
F-Secure 9.0.15370.0 2010.06.10 -
Fortinet 4.1.133.0 2010.06.10 -
GData 21 2010.06.10 -
Ikarus T3.1.1.84.0 2010.06.10 -
Jiangmin 13.0.900 2010.06.10 -
Kaspersky 7.0.0.125 2010.06.10 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.10 -
Microsoft 1.5802 2010.06.10 -
NOD32 5188 2010.06.10 JS/Exploit.Pdfka.OAY
Norman 6.04.12 2010.06.10 -
nProtect 2010-06-10.01 2010.06.10 -
Panda 10.0.2.7 2010.06.10 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.03.05 2010.06.10 -
Sophos 4.54.0 2010.06.10 -
Sunbelt 6432 2010.06.11 -
Symantec 20101.1.0.89 2010.06.10 -
TheHacker 6.5.2.0.296 2010.06.10 -
TrendMicro 9.120.0.1004 2010.06.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 -
VBA32 3.12.12.5 2010.06.10 -
ViRobot 2010.6.10.3879 2010.06.10 -
VirusBuster 5.0.27.0 2010.06.10 -


Posted by viruslab
신종악성코드정보2010.06.11 08:57


해당 악성코드 이메일 변종 정보
악성코드 유포를 통한 비아그라 광고, FakeAV 유포, Botnet 구성 등
viruslab.tistory.com

연일 계속해서 악성코드성 Spam 메일이 전파되고 있습니다.

제목 :
(수신자 도메인) account notification

내용 :
Dear Customer,

This e-mail was send by (수신자 관련 메일주소) to notify you that we have temporarily prevented access to your account.

We have reasons to beleive that your account may have been accessed by someone else. Please open attached file (open.html) and Follow instructions.

(수신자 도메인)

사용자 삽입 이미지

open.html 은 잠재적 유해 가능한 스크립트 파일로 분류하여 nProtect 치료 기능에 추가할 예정입니다. 더불어 계속 변종이 제작 유포되고 있어 주의가 필요합니다.

http://www.virustotal.com/ko/analisis/16d6b4230387e024d03edf3e1367814ed9e364d6a802cfbf4851ef55c1f9b0cd-1276214328

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 5.0.0.26 2010.06.10 -
AhnLab-V3 2010.06.10.02 2010.06.10 -
AntiVir 8.2.2.6 2010.06.10 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.10 -
Avast 4.8.1351.0 2010.06.10 -
Avast5 5.0.332.0 2010.06.10 -
AVG 9.0.0.787 2010.06.10 -
BitDefender 7.2 2010.06.10 -
CAT-QuickHeal 10.00 2010.06.10 -
ClamAV 0.96.0.3-git 2010.06.10 -
Comodo 5055 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7627 2010.06.10 -
F-Prot 4.6.0.103 2010.06.09 -
F-Secure 9.0.15370.0 2010.06.10 -
Fortinet 4.1.133.0 2010.06.10 -
GData 21 2010.06.10 -
Ikarus T3.1.1.84.0 2010.06.10 -
Jiangmin 13.0.900 2010.06.10 -
Kaspersky 7.0.0.125 2010.06.10 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.10 -
Microsoft 1.5802 2010.06.10 -
NOD32 5188 2010.06.10 JS/TrojanDownloader.Pegel.BR
Norman 6.04.12 2010.06.10 -
nProtect 2010-06-10.01 2010.06.10 -
Panda 10.0.2.7 2010.06.10 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.03.05 2010.06.10 -
Sophos 4.54.0 2010.06.10 Troj/JSRedir-AR
Sunbelt 6432 2010.06.11 -
Symantec 20101.1.0.89 2010.06.10 -
TheHacker 6.5.2.0.296 2010.06.10 -
TrendMicro 9.120.0.1004 2010.06.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 -
VBA32 3.12.12.5 2010.06.10 -
ViRobot 2010.6.10.3879 2010.06.10 -
VirusBuster 5.0.27.0 2010.06.10 JS.Redirector.Gen.8



Posted by viruslab
신종악성코드정보2010.06.08 08:57


트위터 메일로 위장한 악성코드
Twitter 메일 악성코드 주의하세요.
viruslab.tistory.com

드디어 본색을 드러내기 시작하네요.

어제 보고해 드렸던 트위터 발신지로 위장한 메일이 악성코드 유포에 이어서 예상한대로 "비아그라 광고" 를 띄우기 시작했습니다.

사용자 삽입 이미지

현재 해당 그림을 클릭하면 다음 사이트로 연결을 시도하지만 생성되지 않았거나 구글에 의해서 삭제된 것으로 추정됩니다.

어제 악성코드를 유포했던 구글 그룹 사이트도 차단된 것으로 확인되었습니다.

http://groups.google.com/group/pppppps

구글 그룹을 통한 악성코드 유포가 증대하고 있으므로, 구글 나름대로 이와 관련한 대응안 마련이 요구되고 있습니다.
어쩌면 취약점이 있을지도 모르겠네요! 공격자가 수동으로 계정을 만드는것을 그리 좋아하진 않을 것 같은데 말이죠.

현재 구글에 의해서 차단된 악성코드 링크를 클릭하면 다음과 같이 구글 그룹 초기 화면이 보여집니다.

구글쪽이라면 생성자 추적도 가능하지 않을까 싶은데..

Posted by viruslab
신종악성코드정보2009.06.29 14:41


다음과 같은 스팸메일이 전파되고 있습니다.

첨부되어 있는 WATCH PORN VIDEO NOW.html 파일은 비아그라 광고 사이트로 연결을 시도하며, 이는 기존 Iksmas(Waledac) 웜이 광고했던 곳이기도 합니다.

한동안 잠잠하더니 새로 활동을 시작하지 않을까 싶기도 하네요.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

WATCH PORN VIDEO NOW.html 파일은 다음과 같은 코드를 포함하고 있습니다.

비아그라 광고 사이트입니다.

<meta http-equiv='Refresh' content='0; url=http://addfamous.com/' />

Posted by viruslab
보안관련소식2009.06.02 09:47
보안관련소식2009.05.23 10:17


최근 가장 활발하게 유포되는 Viagra + Cialis SPAM 메일이다.

사용자 삽입 이미지

이전 Iksmas (aka Waledac) Worm 이 광고했던 동일한 URL 을 사용하고 있는 곳이다.

Iksmas Worm 은 신종 인플루엔자 치료제(타미플루)처럼 위장한 내용으로 배포한 바 있다.

사용자 삽입 이미지

사용자 삽입 이미지

악성코드 제작자가 Zombie PC로 구성한 전 세계 Bot Net 을 통해서 SPAM Mail 을 지속적으로 배포하고 있는 것으로 추정되고 있다.

현재 Iksmas 변종 유포는 소강상태를 보이고 있으나, 특별한 사회적인 이슈가 발생하면 또 다시 유포를 시작할 것으로 예측되고 있다.

Posted by viruslab
보안관련소식2007.12.04 14:52


요즘 이메일로 엄청 수신되는 종류이다. 그림파일에는 남자의 특정 부위가 노출(19금)된 경우도 많이 있다.
여성들을 위한 스팸인가 보다.

사용자 삽입 이미지
Posted by viruslab
TAG spam, 스팸