태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.09.09 12:03


이력서 메일 내용처럼 교묘하게 위장한 악성코드 이메일이 국내에 유입된 것이 확인되었습니다.

아래 내용 참고하시어 유사 악성파일 유포 메일에 속지 않도록 조심하시면 좋겠습니다.

제목 :
이력서 도서

내용 :
안녕하세요 :

난 졸업생은 홍콩 대학에서 오전.난 일본에서 1 년 이상 해외 유학했다.주로 온라인 게임 개발 및 운영 기술 인력의.
인터넷에서 직원의 채용에 임금을 볼 수있습니다.난 물어 자유 걸릴하고 싶습니다.내 개인 정보를 첨부합니다.
당신보다 더 잘 쓰지.감사합니다.

첨부파일 :
이력서.zip


한글 내용은 번역기 등을 사용한 것으로 보여지며, 대부분 문법에 맞지 않습니다.

사용자 삽입 이미지

"이력서.zip" 파일 내부에는 "SeriyLee Resume.chm" 라는 컴파일된 HTML Help 파일이 포함되어 있고, chm 내부에 svchost.exe 라는 악성파일이 추가로 실행되도록 제작되어 있습니다.

사용자 삽입 이미지

SeriyLee Resume.chm 내부에는 가짜 이력서 내용 launch.htm 파일과 mypic.jpg 라는 사진 파일 등이 포함되어 있으며, 몰래 실행되는 svchost.exe 라는 악성파일이 포함되어 있습니다.

chm 파일이 실행되면 다음과 같이 실제 이력서와 같은 화면을 보여주어 사용자가 정상적인 파일로 인식하도록 만듭니다.

중국에서 제작된 것으로 추정되며, 사진속 인물은 중국쪽 연예인 사진인 듯 싶습니다.

사용자 삽입 이미지

이력서에 포함된 사진 화면인데, 해외 모델이나 연예인 사진을 도용한 것으로 보여집니다. 혹시 정확하게 아시는 분 있으면 좀 알려주세요.^^


메일이 발송된 곳은 중국 베이징으로 추적되었습니다.


악성파일에 감염이 되면 실행되어 있는 일부 정상 파일이 백업되고, 감염된 파일로 교체되는 현상이 발생됩니다.

nProtect Anti-Virus 제품에서는 감염된 파일의 치료 기능을 제공할 예정 중입니다.

http://www.virustotal.com/file-scan/report.html?id=5bec540896902e643a4563b17b312a9ba8f6291b7e659f1122692ec9048ce39a-1284001638


Antivirus Version Last Update Result
AhnLab-V3 2010.09.09.00 2010.09.09 Backdoor/Win32.Banito
AntiVir 8.2.4.50 2010.09.08 TR/Crypt.XPACK.Gen3
Antiy-AVL 2.0.3.7 2010.09.09 -
Authentium 5.2.0.5 2010.09.08 -
Avast 4.8.1351.0 2010.09.08 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.08 Win32:Malware-gen
AVG 9.0.0.851 2010.09.08 Downloader.Generic10.QMB
BitDefender 7.2 2010.09.09 Trojan.Generic.4715438
CAT-QuickHeal 11.00 2010.09.08 TrojanDownloader.Unruy.i
ClamAV 0.96.2.0-git 2010.09.09 -
Comodo 6018 2010.09.09 -
DrWeb 5.0.2.03300 2010.09.09 -
Emsisoft 5.0.0.37 2010.09.09 Trojan-Downloader.Win32.Unruy!IK
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7843 2010.09.08 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.09 Trojan-Downloader:W32/FakeAlert.NV
Fortinet 4.1.143.0 2010.09.08 -
GData 21 2010.09.09 Trojan.Generic.4715438
Ikarus T3.1.1.88.0 2010.09.09 Trojan-Downloader.Win32.Unruy
Jiangmin 13.0.900 2010.09.08 Backdoor/Banito.pd
K7AntiVirus 9.63.2470 2010.09.08 -
Kaspersky 7.0.0.125 2010.09.09 Backdoor.Win32.Banito.anw
McAfee 5.400.0.1158 2010.09.09 Artemis!5ED7F5FFD25D
McAfee-GW-Edition 2010.1B 2010.09.09 Artemis!5ED7F5FFD25D
Microsoft 1.6103 2010.09.09 TrojanDownloader:Win32/Unruy.I
NOD32 5435 2010.09.08 -
Norman 6.06.05 2010.09.08 -
nProtect 2010-09-09.01 2010.09.09 Backdoor/W32.Banito.167936.C
Panda 10.0.2.7 2010.09.08 Trj/CI.A
PCTools 7.0.3.5 2010.09.09 -
Prevx 3.0 2010.09.09 Medium Risk Malware
Rising 22.64.02.04 2010.09.08 Trojan.Win32.Generic.522F3C2E
Sophos 4.57.0 2010.09.09 -
Sunbelt 6849 2010.09.09 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.09.09 -
Symantec 20101.1.1.7 2010.09.09 -
TheHacker 6.7.0.0.012 2010.09.09 Backdoor/Banito.anw
TrendMicro 9.120.0.1004 2010.09.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.09 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.09 -
VirusBuster 12.64.24.0 2010.09.08 -







Posted by viruslab

댓글을 달아 주세요

  1. 다양한 곳에서 발견되고 있으니 각별히 조심해야 겠습니다.

    2010.09.09 12:58 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 전자신문 보도 - http://www.etnews.co.kr/news/detail.html?id=201009090106

    2010.09.09 14:34 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 조심해야겠네요 ... !

    2010.09.09 14:40 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 님 블로그가 희안한 문자가 있던데..혹시 알려주실 수 있으신가요?

      2010.09.09 15:15 신고 [ ADDR : EDIT/ DEL ]