'E-Greeting'에 해당되는 글 1건

  1. 2007.08.17 새로운 e-연하장 스팸으로 바이러스 전파, 조심하세요! (6)
요즘 새로운 스팸들과 관련하여 다양한 보안 경고가 뉴스가 되곤 합니다.

오늘 소개할 자료는 연하장(E-Greeting Card)를 가장하여 수신되는 스팸으로 인해 악성 프로그램에 감염되는 이메일 공격 중 하나입니다.

우리나라의 경우에는 영어를 주로 사용하고 있지 않아 그리 큰 피해가 예상되지는 않습니다만, 영문화권에서는 이 이메일 공격이 효과를 발휘하고 있습니다.

아래 그림과 같이 제목이 보통 "Movie-Quality ecard"라고 되어 있으며, 문안 인사를 고품질의 동영상으로 제공한다는 낚시성 제목입니다.
사용자 삽입 이미지

문제는 본문 속에 나타나 있는 링크 주소인데 이 링크 주소를 클릭하면 보통 새로운 창(또는 기존 창이 바뀌면서)에서 해당 주소로 이동하게 됩니다. 아래 화면처럼 클릭을 유도하는 링크가 나타납니다.
사용자 삽입 이미지

링크 주소는 URL이나 IP 주소로 되어 있는데, 이러한 IP 주소를 확인해 보면 미국이나 동유럽 쪽이 다수이고 일부의 경우에는 미국내의 ISP 주소도 포함되어 있다고 합니다. 미국내의 IP 주소는 이 악성프로그램에 감염된 PC라고 합니다.

사용자 시스템에 하나 또는 그 이상의 파일을 설치하는데 이 파일들의 목적이 바로 사용자의 화면(및 데이터)를 캡춰합니다.
사용자 삽입 이미지

다운로드하는 파일은 msdataaccess.exe 파일로 F-Secure에서는 Email-Word.Win32.Zhelatin.gg라고 진단합니다.

문제는 예전에 감염되던 전통적인 방식은 메일 메시지의 첨부 파일에 바이러스가 포함된 또는 바이러스 감염을 유도하는 실행파일을 전송하였기 때문에 안티스팸/바이러스 장비에서 이를 손쉽게 걸러냈습니다.

하지만, 메일 본문에 그것도 링크로 되어 있는 경우에는 이러한 보안 장비로는 차단이 어렵기 때문에 사용자의 주의가 한번 더 요구됩니다.

마지막으로 국내외 안티 바이러스의 검사 결과입니다. 안랩의 V3와 카스퍼스키의 무검출이 눈에 띄는 군요.
사용자 삽입 이미지

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    1. Favicon of http://eloiz.woobi.co.kr/tc BlogIcon 아이프리드 2007.08.16 19:59  댓글주소  수정/삭제  댓글쓰기

      이 포스팅을 보고 집에와서 메일 확인하는데 비슷한 내용의 메일을 받았습니다. 휴지통에 들어가있더군요.[NATE에서 스팸으로 처리] 내용은 "어머니에게 감사의 마음을 전하세요." 란 내용인듯 하며 링크된 IP주소도 다른곳이군요. 하여간 메일보고 생각나서 댓글 달아봅니다. ㅎㅎ

    2. MK 2007.08.17 01:30  댓글주소  수정/삭제  댓글쓰기

      그럼 이거 어떻게 치료해야되요?
      저 지금 이거 당했거든요 ㅠ
      외국인친구가 메일 보낸줄 알고 실행시켰는데
      당황스럽네요..
      치료는 쉽게되는건가요?

      • Favicon of https://websters.tistory.com BlogIcon 오바맨 2007.08.17 10:13 신고  댓글주소  수정/삭제

        안녕하세요?

        요즘 대부분의 안티바이러스에서 이 바이러스를 진단하고 있습니다.

        V3(2007.8.16일패턴), 카스퍼스키(2007.8.17일패턴)는 진단하지 못하는 군요.

        ㅎㅎ

    3. 키스6.0잡힙니다. 2007.08.18 21:01  댓글주소  수정/삭제  댓글쓰기

      아무래도 카스 버전낮은거로 해서 안잡히는듯 하군요.

    4. SDFGSDF 2007.08.30 23:38  댓글주소  수정/삭제  댓글쓰기

      카스퍼스키 4.0버전이라그러는듯
      6.0으론잡히던대



    Web Analytics Blogs Directory