트위터 암호 초기화 메일로 위장한 형태가 계속해서 변형되어 전 세계적으로 전파되고 있습니다.
사용자 분들은 각별히 주의하셔야 할 것 같습니다. 그리고.. 광고 수익을 위한 본색을 드러내기 시작했습니다.
매일 변종이 보고되고 있으니 아래 내용도 참고하시고요!
페이스북 암호 초기화 위장 내용 보기
Reset your Facebook password
viruslab.tistory.com
발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다.
기존과 동일한 내용과 첨부파일명이더라도 스크립트 코드가 변형되어 유포되고 있기 때문에 Anti-Virus 에서 모든 첨부파일을 탐지하지 못할 수 있습니다.
조금 전 국내에 추가 유입된 내용이 어떻게 변경되었는지 살펴보았습니다.
제목 :
Reset your Twitter password
내용 :
Hi, (수신자 이메일).co.kr
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
The Twitter Team
Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter.
첨부파일 :
open.htm
보통 예전 변종들은 html 확장자를 썼지만 이번것은 htm 으로 변경되어 있는 것이 조금 다르네요.
첨부되어 있는 open.htm 파일은 기존 Anti-Virus 패턴에서 진단하지 못하도록 또 수정을 하였군요.
open.htm 파일이 실행되면 (생략)vehost.com 이라는 도메인의 zx.htm 파일이 연결됩니다.
이 사이트에는 잠시 열렸다가 다른 사이트로 다시 재연결이 되는데, 악성코드 제작 유포자는 아무래도 중간에 광고수입을 노린 것으로 보입니다.
왜냐하면 zx.htm 링크에 "구글 광고(애드센스)"가 포함되어 있기 때문이죠.
이후에 시계 등을 판매하는 사이트로 연결되어, 해당 사이트를 대신 홍보, 광고해 주고 있습니다.
악성코드 유포자는
광고 노출이나 홍보비 등의 수익을 노리고 있다는 것을 짐작해 볼 수 있는 대목이죠.
이 처럼 악성코드 제작 유포자는 금전적 수익을 얻기 위해서 봇넷을 통해서 광고용 스팸메일을 대신 발송해 주거나 허위 보안 제품(Fake AV) 등을 다량 배포해 주고 있기도 합니다.
그것은 이미 충분히 악성코드에 감염되어 있는 Zombie PC 와 BotNet 을 통한 C&C 기능이라고 보면 되겠지요.
뭐 이제는 잘 아시겠지만 비아그라 성인약품 광고는 아주 기본이겠지요.
결론..
악성코드 제작 목적 = 돈 = 범죄
댓글을 달아 주세요
지메일을 사용 중인데, 다행이도 페이스북 사용자가 보낸 광고 메일를 스팸으로 처리했더군요.
2010.08.25 21:43 신고 [ ADDR : EDIT/ DEL : REPLY ]"왜 스팸 처리를 했지?"하고 의구심을 갖고 메일을 봐서 다행이지 아니었다면 속을 뻔 했습니다.
교묘해지고 지능화되어 가니.. 신경쓰지 않으면 안되겠어요.
2010.08.26 09:23 신고 [ ADDR : EDIT/ DEL ]