본문 바로가기
[SpamMail] "OOO(유명인사) died" 제목으로 전파 되는 메일 주의!! 유명인사의 죽음을 알리는 스팸메일이 국내에서 발견되었다. 메일에는 News.htm 파일이 첨부 되어 있다. 이번에도 첨부파일은 자바스크립트(JavaScript)로 이루어져 있으며, Replace가 아닌 substr() Method를 이용하여 복호화가 이루어진다. 결과적으론 URL Redirection과 동일한 수법이다. 제목 : Cameron Diaz died 본문 : David Beckham died along with 34 other people when the Air Force CT-43 "Bobcat" passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airpo.. 2010. 8. 23.
알집(ALZip), ALZip SFX 방식을 이용한 악성코드 주의 알집의 SFX방식을 이용한 악성코드가 발견되었다. 현재 최초 유포단계는 알 수 없으며, 이메일을 통해 단축 URL로 배포 될 가능성이 매우 높다. - Short URL http://km****.ok.hn http://hot*****.co7.co - Redirection URL http://juda****.com/1.html http://juda****.com/AdobeFlashPlayer.exe 위의 Short URL로 접속하면 사용자를 현혹시키기 위해 선정적인 그림과 문구가 적혀 있으며, 사용자에게 다운로드를 유도한다. 그림을 클릭하면 AdobeFlashPlyer.exe를 다운로드 받게 된다. 악성파일을 많이 보신 분들이라면 이름만 들어도 ㅡ.ㅡ; 악성이라 의심할 수 있을 만한 파일명!! ㅋㅋㅋ 중요한.. 2010. 8. 10.
웹센스(Websense), Fake Input Method Editor(IME) Trojan 웹센스(WebSense)에서 IME(Input Method Editor)에 대한 악성코드에 대해 분석결과를 발표하였다. 예전에 내가 보고한 내용과 동일 한 내용이라 보여진다. - 관련글 2010/06/18 - [악성코드소식] - 키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 변종 주의(10-06-18) 2010/03/08 - [악성코드소식] - 키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 배포 주의!! 원문보기 : http://community.websense.com/blogs/securitylabs/archive/2010/07/05/trojan-using-input-method-inject-technology.aspx Websense® Security Labs™ T.. 2010. 7. 7.
트렌드마이크로(TrendMicro), ZeuS/ZBOT Targets Russian Banks 세계적인 보안 업체인 트렌드마이크로(TrendMicro)에서 제우스봇(ZeuSBot)이 최근 러시아 은행을 타켓으로 잡고 있다는 분석결과를 공개하였다. 이런 지하조직은 언제쯤 없어질까.....!! 원문보기 : http://blog.trendmicro.com/zeuszbot-targets-russian-banks While conducting research, I encountered a curious-looking new ZeuS/ZBOT sample using a very old toolkit version. I retrieved the sample two days ago. After some debugging/reversing, I found out that this specific sample ta.. 2010. 7. 6.
[SpamMail] "My Husband, My Lover" 제목으로 전파 되는 메일 주의!! 광고를 목적으로 둔 스팸메일을 확인하였다. 메일에는 foryou.html 파일이 첨부 되어 있다. 이번에도 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. foryou.html 파일은 Replace를 이용하여 http://myhometour******.com/xxx.html 로 연결된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. - 관련글 2010/06/17 - [악성코드소식] - [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 2010/06/17 - [악성코드소식] - [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 .. 2010. 6. 23.
키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 변종 주의(10-06-18) 예전 키보드 레이아웃을 이용한 악성코드에 대해서 잠깐 소개한 적이 있었다. 한동안 잠잠하더니~ 다시 활발히 활동 하고 있어, 사용자들의 주의가 필요하다. - 관련글 2010/03/08 - [악성코드소식] - 키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 배포 주의!! 이전 기록과는 다른 도메인으로 전파 중이다. 내가 발견 한 기록은 5월 3일경 처음 발견했다. 물론 그전에도 있었겠지만;; 나의 모니터링에는 이쯤부터 변경된 듯 하다. - 이전 전파형식 http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/689sd.htm http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/738sd.htm http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/588sd.h.. 2010. 6. 18.
[SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 지속적인 변종을 보이고 있다. 언제까지 이 스팸메일이 발생 될 지 걱정이다;; 물론 이번에도 악성파일의 다운로드 행위는 없다. 다만 광고를 보여줄뿐!! - open.htm 파일 내용 - 리다이렉션 URL 이 같은 스팸메일을 보내는 악성파일에 대해 분석 해 둔 사이트가 있다. 그림이 작으니 클릭해서 봐야한다. 원본 보기 : http://blog.emsisoft.com/2010/06/17/facebook-twitter-and-more-spams There seems to be no end for the circulation of twitter spams, and now the malware authors have started trying various strategies to bring similar co.. 2010. 6. 17.
[SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 변경 메일 주의!! 최근 유명 SNS(Social Network Service)를 가장한 스팸메일이 많이 돌고 있다. - 관련글 2010/06/11 - [악성코드소식] - [SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! 이전에 나왔던 html 파일들은 별도의 악성파일을 다운로드를 하는 것으로 확인되었으나, 이번 변종에 첨부 된 html, htm 파일은 악성파일을 다운로드 하여 시스템을 감염시키기 보다는 광고를 전파하는 것으로 목적이 틀려 보였다. 이번에도 저번 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. 현재 많은 변종들이 존재 하는 것으로 보이며, 오.. 2010. 6. 17.

티스토리툴바