[SpamMail] "My Husband, My Lover" 제목으로 전파 되는 메일 주의!! 광고를 목적으로 둔 스팸메일을 확인하였다. 메일에는 foryou.html 파일이 첨부 되어 있다. 이번에도 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. foryou.html 파일은 Replace를 이용하여 http://myhometour******.com/xxx.html 로 연결된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. - 관련글 2010/06/17 - [악성코드소식] - [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 2010/06/17 - [악성코드소식] - [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 .. 2010. 6. 23. [SpamMail] "Your Computer has probably been infected" 제목으로 전파 되는 메일 주의!! 마이크로소프트(MicroSoft)사에서 발송한 것처럼 위장한 메일이 확인되었다. 해당 메일은 Conficker Worm으로 인하여 첨부파일을 실행하여 예방하라는 내용을 담고 있다. 첨부파일은 허위 백신파일로 추정된다. - 파일정보 C:\Documents and Settings\All Users\Favorites\_favdata.dat C:\Documents and Settings\UserName\Local Settings\Temp\TMP(랜덤5자리 숫자).exe C:\Documents and Settings\UserName\Local Settings\Temp\TMP(랜덤5자리 숫자).tmp(첨부 파일과 동일파일) 2010. 6. 21. [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!! 지속적인 변종을 보이고 있다. 언제까지 이 스팸메일이 발생 될 지 걱정이다;; 물론 이번에도 악성파일의 다운로드 행위는 없다. 다만 광고를 보여줄뿐!! - open.htm 파일 내용 - 리다이렉션 URL 이 같은 스팸메일을 보내는 악성파일에 대해 분석 해 둔 사이트가 있다. 그림이 작으니 클릭해서 봐야한다. 원본 보기 : http://blog.emsisoft.com/2010/06/17/facebook-twitter-and-more-spams There seems to be no end for the circulation of twitter spams, and now the malware authors have started trying various strategies to bring similar co.. 2010. 6. 17. [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 변경 메일 주의!! 최근 유명 SNS(Social Network Service)를 가장한 스팸메일이 많이 돌고 있다. - 관련글 2010/06/11 - [악성코드소식] - [SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! 이전에 나왔던 html 파일들은 별도의 악성파일을 다운로드를 하는 것으로 확인되었으나, 이번 변종에 첨부 된 html, htm 파일은 악성파일을 다운로드 하여 시스템을 감염시키기 보다는 광고를 전파하는 것으로 목적이 틀려 보였다. 이번에도 저번 자바스크립트(JavaScript)로 이루어져있으며, Replace를 이용하여 리다이렉션 시키는 것으로 확인된다. 리다이렉션 시키는 URL은 특정 광고를 보여주는 사이트이다. 현재 많은 변종들이 존재 하는 것으로 보이며, 오.. 2010. 6. 17. [SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! "New discounts daily" 라는 제목으로 스팸메일이 전파되었다. 스팸메일에는 open.html 이라는 파일이 첨부 되어 있으며, 해당 파일은 JavaScript를 통해 악성 PDF를 다운로드 한다. 추가적으로 new.html 파일도 첨부 파일로 들어오고 있다고 한다. new.html의 접속 주소는 http://advancedwood****.com/x****j/z.htm 이며, 동일한 PDF를 다운로드 한다. 최근 Replace 함수를 사용하여 문자열을 치환하는 형식이 많이 발생하고 있으며, 이는 보안프로그램의 탐지를 우회하기 위한 방법으로 사용되는 것으로 추측되고 있다. 이번 open.html도 마찬가지로 Replace 를 이용하여 악성 URL에 접근을 시도한다. 빨간 박스가 악성 URL로 .. 2010. 6. 11. SpamMail, 비아그로우(Viagrow)?? 이런것도 있나? 몇일 전부터 이런 메일이 계속적으로 들어오고 있다. 이런 비아그라 관련 및 성인 스팸메일을 어떻게 해야 근절시킬 수 있을까....!! 제목 : Featured in Maxim magazine, Maxgentle pills are rocking the world with their phenomenal penis enlarging results! djww ue 본문 내용 : - 연결 되는 사이트 2010. 6. 3. 양심있는 악성코드(?), 재부팅하면 스스로 죽는구나^^ 금일 샘플을 보다 보니, 아주 잼있는 파일이 있어서 잠시 소개한다. 분명 파일은 %WINDOWS% 폴더에 자신을 stdw.exe 파일명으로 복사한다. 이후 부팅 시 자동시작을 위해 레지스트리를 수정하는데 웃기게도 %WINDOWS%가 아닌 %SYSTEM32%폴더에 stdw.exe를 찾는다. 아하~ 이게 먼 웃긴 퍼포먼스인가 ㅋㅋㅋ 지루한 오후에 나에게 웃음을 주는구나 ㅎㅎ 제작자를 찾아보고 싶을 정도이다!! (그림 1. Windows 폴더에 생성 된 stdw.exe 파일) (그림 2. 레지스트리에서 찾는 위치는 system32폴더의 stdw.exe 파일) 하지만 악성행위는 짜증;; 65.55.92.152:25 SMTP 서버를 통해 스팸메일을 발송시킨며, 다음과 같이 보안관련 프로세스를 모두 종료시킨다. Z.. 2010. 5. 24. 이력서 검토를 가장한 스팸메일 주의!! 자신의 이력서(Curriculum Vitae)를 검토해달라는 스팸메일이 국내에 유포되고 있다. 첨부파일에 추가 된 파일은 Downloader로써 FakeAlert 와 Spam mailer를 다운로드한다. - 다운로드 파일 http://turismorap***.com.br/_js/ext-3.0.0/*******/shared/screens/psi.exe - 생성파일 C:\WINDOWS\system32\pgsb.lto (FakeAlert File) C:\WINDOWS\system32\mllmryhdt.exe (Spam mailer File) C:\Documents and Settings\UserName\mllmryhdt.exe (Spam mailer File) C:\Documents and Settings\U.. 2010. 5. 12. 이전 1 2 3 4 다음
