태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'시큐리티'에 해당되는 글 1건

  1. 2010.06.07 트위터 메일로 위장하여 악성코드 유포 중 (1)
신종악성코드정보2010.06.07 13:57


트위터 스팸 광고 메일
트위터 메일로 위장한 악성코드 주의
viruslab.tistory.com

트위터에서 발송한 메일처럼 위장하고 있으며, 특정 링크를 클릭하게 만들어 악성코드에 감염되도록 변형된 것이 국내에 유입되었습니다.

Twitter_security_model_setup.zip 파일을 설치하시거나 실행하지 마시기 바랍니다.

또한, 악성코드 메일은 계속해서 변형되고 있으니, 트위터에서 보내온 것처럼 위장된 메일에 각별히 주의하셔야 겠습니다.

메일은 다음과 같은 형식으로 유포된 것이 발견되었으며, 제목에 포함되어 있는 숫자는 가변적입니다.

보낸이 :
Twitter

제목 :
Twitter 722-70

내용 :
Hi, (수신자).co.kr
Attention! We detected that someone was trying to steal your Twitter account password.

We strongly recomended you to download our secure module to protect account!

Please click on the link below:
http://twitter.com/Twitter_security_model_setup.zip

The Twitter Team

If you received this message in error and did not sign up for a Twitter account, click not my account.

Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at Twitter Support.


본문에 포함되어 있는 링크는 실제 트위터로 연결되어 있지 않고, 특정 구글 그룹 사이트로 연결됩니다.

관련 악성코드 분석정보 보기
구글 그룹 사이트를 통한 악성코드 유포기법
www.nprotect.com

사용자 삽입 이미지

해당 링크를 클릭하게 되면 다음과 같이 악성코드 다운로드가 시도됩니다.

사용자 삽입 이미지

파일명은 Twitter_security_model_setup.zip 이며, 마치 트위터 보안 파일처럼 사용자를 속일려고 합니다.

압축 파일 내부에는 exe 악성코드가 포함되어 있습니다.

사용자 삽입 이미지

이번 악성코드의 경우 윈도우 업데이트 아이콘을 사용하고 있습니다.

사용자 삽입 이미지

악성코드의 진단 현황
바이러스 토탈 진단 현황 보기
www.virustotal.com

Antivirus Version Last Update Result
a-squared 5.0.0.26 2010.06.07 Gen.Heur!IK
AhnLab-V3 2010.06.06.00 2010.06.06 Trojan/Win32.Tdss
AntiVir 8.2.2.6 2010.06.06 TR/Crypt.XPACK.Gen2
Antiy-AVL 2.0.3.7 2010.06.04 -
Authentium 5.2.0.5 2010.06.06 -
Avast 4.8.1351.0 2010.06.06 Win32:Jifas-FX
Avast5 5.0.332.0 2010.06.06 Win32:Jifas-FX
AVG 9.0.0.787 2010.06.06 -
BitDefender 7.2 2010.06.07 Gen:Variant.TDss.17
CAT-QuickHeal 10.00 2010.06.07 -
ClamAV 0.96.0.3-git 2010.06.07 -
Comodo 5013 2010.06.07 -
DrWeb 5.0.2.03300 2010.06.07 -
eSafe 7.0.17.0 2010.06.06 -
eTrust-Vet 35.2.7528 2010.06.04 -
F-Prot 4.6.0.103 2010.06.06 -
F-Secure 9.0.15370.0 2010.06.07 Gen:Variant.TDss.17
Fortinet 4.1.133.0 2010.06.06 -
GData 21 2010.06.07 Gen:Variant.TDss.17
Ikarus T3.1.1.84.0 2010.06.07 Gen.Heur
Jiangmin 13.0.900 2010.06.06 -
Kaspersky 7.0.0.125 2010.06.07 -
McAfee 5.400.0.1158 2010.06.07 -
McAfee-GW-Edition 2010.1 2010.06.06 Heuristic.BehavesLike.Win32.Packed.B
Microsoft 1.5802 2010.06.06 -
NOD32 5177 2010.06.06 -
Norman 6.04.12 2010.06.06 -
nProtect 2010-06-06.01 2010.06.06 Gen:Variant.TDss.17
Panda 10.0.2.7 2010.06.06 Trj/CI.A
PCTools 7.0.3.5 2010.06.07 -
Prevx 3.0 2010.06.07 -
Rising 22.51.00.01 2010.06.07 -
Sophos 4.53.0 2010.06.07 Sus/UnkPack-C
Sunbelt 6414 2010.06.07 Packed.Win32.Tdss.q (v)
Symantec 20101.1.0.89 2010.06.07 -
TheHacker 6.5.2.0.292 2010.06.04 -
TrendMicro 9.120.0.1004 2010.06.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.07 -
VBA32 3.12.12.5 2010.06.04 -
ViRobot 2010.6.5.2339 2010.06.07 -
VirusBuster 5.0.27.0 2010.06.06 -

악성코드 파일이 실행되면 다음 화면과 같이 Protection Center 라는 외산 허위 보안 제품이 설치됩니다.






Posted by viruslab

댓글을 달아 주세요

  1. 관련된 보도자료가 나왔네요.

    보안 파일 발송처럼 위장한 트위터 위장 메일 주의 : http://www.boannews.com/media/view.asp?idx=21388&kind=0

    2010.06.07 17:40 신고 [ ADDR : EDIT/ DEL : REPLY ]