08_spam.hwp

Similar documents
07_alman.hwp

*2008년1월호진짜

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

ICAS CADWorx SPLM License 평가판설치가이드

CODESYS 런타임 설치과정

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Cubase AI installation guide

Microsoft Word - src.doc

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

목차도비라

121220_워키디_상세설명서.indd

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Microsoft Word - X-FORCE 월간 위협 보고서_Dec_r1.doc

PowerPoint 프레젠테이션

Windows 8에서 BioStar 1 설치하기

<31332DB9E9C6AEB7A2C7D8C5B72D3131C0E528BACEB7CF292E687770>

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

보광31호(4)

<FEFF E002D B E E FC816B CBDFC1B558B202E6559E830EB C28D9>

토익S-채용사례리플렛0404

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

No

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

2011 <C560><B274><C5BC><B9AC><D3EC><D2B8> <CD5C><C885>.pdf

Page 2 of 5 아니다 means to not be, and is therefore the opposite of 이다. While English simply turns words like to be or to exist negative by adding not,

Install stm32cubemx and st-link utility

5th-KOR-SANGFOR NGAF(CC)

하나님의 선한 손의 도우심 이세상에서 가장 큰 축복은 하나님이 나와 함께 하시는 것입니다. 그 이 유는 하나님이 모든 축복의 근원이시기 때문입니다. 에스라서에 보면 하나님의 선한 손의 도우심이 함께 했던 사람의 이야기 가 나와 있는데 에스라 7장은 거듭해서 그 비결을

쿠폰형_상품소개서


영어-중2-천재김-07과-어순-B.hwp

고든 비 힝클리 대관장은 연차 대회의 마지막 모임에서 다음과 같이 말씀했다. 이 위대한 대회에 참여한 사람 모두가 선한 영향을 받았기를, 우리 개개인이 지난 이틀 간의 경험으로 인해 더 나은 남자와 여자가 되었기를 바랍니다. 우리 개개인이 주님께 더욱 가까이 다가가는

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

Windows Server 2012

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

*금안 도비라및목차1~9

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

71816 감사해 복음성가 주여 이 죄인이 복음성가 감사함으로 그 문에 복음성가 파송의 노래 복음성가 괴로울 때 주님의 얼굴 보라 복음성가 하나님은 너를 지키시는 자 복음성가 고난의 길 복음성가 73370

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

歯박지원-구운몽.PDF

*금안14(10)01-도비라및목차1~12

슬라이드 제목 없음

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Stage 2 First Phonics

vRealize Automation용 VMware Remote Console - VMware

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

43

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

3항사가 되기 위해 매일매일이 시험일인 듯 싶다. 방선객으로 와서 배에서 하루 남짓 지내며 지내며 답답함에 몸서리쳤던 내가 이제는 8개월간의 승선기간도 8시간같이 느낄 수 있을 만큼 항해사로써 체질마저 변해가는 듯해 신기하기도 하고 한편으론 내가 생각했던 목표를 향해

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

May 2014 BROWN Education Webzine vol.3 감사합니다. 그리고 고맙습니다. 목차 From Editor 당신에게 소중한 사람은 누구인가요? Guidance 우리 아이 좋은 점 칭찬하기 고맙다고 말해주세요 Homeschool [TIP] Famil

¹Ìµå¹Ì3Â÷Àμâ

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

슬라이드 1



<BACFC7D1B3F3BEF7B5BFC7E22D3133B1C733C8A BFEB2E687770>

<C4DAC0CEB7CEC4BF5F666F E687770>

<%DOC NAME%> (User Manual)

< B3E232C8B820C1DFC1B92DB1B9BEEE5F BFC0C8C437BDC3B9DD2E687770>

<B1E2C8B9BEC828BFCFBCBAC1F7C0FC29322E687770>

6강.hwp

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

퇴좈저널36호-4차-T.ps, page Preflight (2)

Microsoft Word - AntiVirus 2008_FAQ.doc

소식지도 나름대로 정체성을 가지게 되는 시점이 된 거 같네요. 마흔 여덟번이나 계속된 회사 소식지를 가까이 하면서 소통의 좋은 점을 배우기도 했고 해상직원들의 소탈하고 소박한 목소리에 세속에 찌든 내 몸과 마음을 씻기도 했습니다. 참 고마운 일이지요 사람과 마찬가지로

2014밝고고운동요부르기-수정3

2005프로그램표지

유포지탐지동향

ActFax 4.31 Local Privilege Escalation Exploit

*금안 도비라및목차1~17

키오스크12 p

Chapter 1

<C0CCC8ADC1F82E687770>

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

슬라이드 1

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

K7VT2_QIG_v3


행자부 G4C

Remote UI Guide

00표지

CTS사보-2월

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

H3050(aap)

PowerPoint Presentation

2011´ëÇпø2µµ 24p_0628

Transcription:

1. 개요 최근국내외에서 E-card 발송을가장한스팸메일로인하여악성코드에감염되는피해가다수보고되었다. 악성코드는메일본문에악의적인 URL을삽입및클릭을유도하는방식으로스팸메일을발송한다. 사용자가스팸메일에포함되어있는악성URL을클릭할경우감염될수있으며, 감염후에는악성코드가감염PC내에저장되어있는메일주소들을추출하여해당주소로동일유형의스팸메일을발송하게된다. 또한, P2P를통한명령전달및추가악성코드다운로드등의악성행위가예상되므로사용자는 URL이포함되어있는스팸성메일수신시클릭하지않도록주의한다. 퀵타임, Winzip 사용자의경우, 해당제품을최신으로업데이트하도록하며, OS 및설치되어있는백신을최신으로업데이트하여감염을예방하도록한다. 2. 스팸메일을이용한전파기법 o 전파기법분석메일을통하여악성링크클릭을유도및취약점을악용하여사용자 PC를감염시킨다. - 스팸메일발송을통한악성웹사이트접속유도 - 웹브라우져및 Third-Party 어플리케이션취약점악용 스팸메일유형분석스팸메일은영문이며, 아래와같이 ecard 발송을가장하여, 악성 URL 에접속하도록유도한다. - 메일제목및내용유형 참고 : 메일제목및내용은다른유형으로계속적으로업데이트되는것으로확인됨 * 메일제목예 - Thank you ecard, - Animated card, - Greeting ecard, - Musical e-card - Movie-quality e-card, - Thank you postcard, - Funny postcard, - Birthday postcard - 제목없음등

* 메일내용예 Hi. Colleague has sent you a greeting ecard. See your card as often as you wish during the next 15 days. SEEING YOUR CARD If your email software creates links to Web pages, click on your card's direct www address below while you are connected to the Internet: http://88.8[ 생략 ]9.10/?55844a4912b62c4232c3a9ebeed43 (URL 주소는가변적이다 ) Or copy and paste it into your browser's "Location" box (where Internet addresses go). We hope you enjoy your awesome card. Wishing you the best, Webmaster, BlueMountain.Com Family member(jbilones@qu[ 생략 ]utual.com) has created Animated e-card for you at americ[ 생략 ]eetings.com. To see your custom Animated e-card, simply click on the following Internet address (if your mail program doesn't support this feature you will need to COPY and PASTE the address into your browser's address box): http://68.4[ 생략 ]165/?9dc7f80c760e2baa0067 (URL 주소는가변적이다 ) Send a FREE greeting card from americ[ 생략 ]etings.com whenever you want by visiting us at: http://america[ 생략 ]eetings.com/ This service is provided and hosted by ameri[ 생략 ]eetings.com. Good day. Your School friend has sent you Thank you card from netfu[ 생략 ]ds.com. Click on your card's direct www address below: http://68.5[ 생략 ]80.218/ (URL주소는가변적이다 ) Copyright (c) 1997-2007 netfuncards.com All Rights Reserved Oh baby, I love what you sent me. Here is some pics to say thanks. http://75.3[ 생략 ]44.127/ (URL주소는가변적이다 )

악용취약점분석사용자가악성 URL에접속할경우, 아래와같은화면이출력되는데, 화면내에는자바스크립트코드가삽입되어있다. 해당자바스크립트내에는취약점공격을위한핵심코드들이탐지를어렵게하기위하여암호화형태로삽입되어있다. < 인코딩된공격코드예 > 암호화된공격코드들은아래의루틴에의하여복호화된다. o 공격에악용되는취약점 - MS06-014: MS 데이터접근컴포넌트취약점 - MS06-057: MS 윈도우탐색기원격코드실행취약점 - 애플사퀵타임 7.1.3이하의버전에서 RTSP(Real Time Stream Protocol) URL처리취약점 - WinZip( 압축유틸리티 ) 10.0 이하의버전에서임의명령실행취약점

o 감염절차및증상메일내의악성 URL 링크를클릭할경우, 해당사이트로부터다수의공격코드가다운로드되며, 악성코드에감염되게된다. 감염시, 감염 PC내에저장되어있는메일주소들을대상으로악성스팸메일이발송된다. 1 사용자가수신된메일내의악성링크로접속시도 2 공격코드및악성파일이다운로드 3 사용자PC 감염발생 4 웜은 PC내에저장되어있는메일주소들을검색하여악성스팸메일발송 5 P2P 통신 절차별상세악성사이트에접속하면, 악성파일이설치된다. 최초로 sys[ 랜덤 ].exe 파일이생성되는데, 이파일은 2차악성파일인 ecard.exe 를추가설치한다. ecard.exe는자신의복제파일을 spooldr.exe 파일명으로윈도우폴더에생성하며, 악성스팸메일을발송하고, 타시스템과 P2P 통신을시도한다.

i) 스팸메일에포함된악성링크로접속시도할경우, 악성파일이다운로드되어 sys [ 랜덤 ].exe 형태로저장및실행됨. http://[ 악성사이트주소 ]\file.php 로부터파일을다운로드받아 sys[ 랜덤4문자 ].exe 파일명으로 "c:\" 폴더에저장한후실행 < 악성파일을다운로드및저장, 실행하기위한자바스크립트공격코드 > < 파일설치예 > ii) sys[ 랜덤 ].exe 파일은 fncarp.com 사이트로부터 ecard.exe 파일을다운로드하여바탕화면에저장및실행.. 다운로드경로 : "fncarp.com/ecard.exe" 사용자가직접 click" 링크를클릭하는경우는악성파일인 msdataaccess.exe 가다운로드됨. 해당파일은 ecard.exe와동일기능을수행함 iii) ecard.exe는자신의복제본을윈도우폴더에 spooldr.exe 파일명으로생성. 또한시스템폴더에 spooldr.sys 파일을생성하고바탕화면에 spooldr.ini 파일을생성

하며드라이버폴더의 tcpip.sys 파일을변조한다. o 감염후증상 - 감염PC에저장된파일로부터메일주소를추출하여대상주소로스팸메일을발송한다. 감염PC내에저장되어있는파일중메일주소추출을위하여아래의확장명파일을검색한다. 아래의문자열이포함되어있는주소로는메일을발송하지않는다.

- 실행에러창출력사용자 PC가감염되면아래와같은실행에러창이출력된다. - 방화벽우회아래스크립트를실행하여악성코드가방화벽을우회할수있도록등록한다 netsh firewall set allowedprogram c:\\windows\spooldr.exe enable - 보안프로그램등실행방해아래와같은프로그램의기능수행을방해한다.

- 타감염 PC와의 P2P 통신감염 PC는랜덤한포트를 Open하여, P2P프로토콜을통하여다른감염 PC들과통신한다. 공격자가 P2P를통하여명령을전달하여웜을업데이트하거나다른악성코드를추가로설치하는악성행위가예상된다. peer 정보는바탕화면에 spooldr.ini 파일내에저장됨. <spooldr.ini 파일내의저장데이터예 >

- 기타자기은폐기능이있으며, 다수의변종존재. 3. 예방방법 o 인터넷카드가수신되었다며확인을위하여특정사이트에접속이필요하다는유형의의심스러운스팸성메일을수신할경우, 관련링크를클릭하지않도록주의한다. o 윈도우OS에대한최신보안업데이트를실시하며, Winzip 및 Quicktime 어플리케이션사용자의경우해당제품에대해서도최신업데이트를실시한다. o 백신을최신으로업데이트및실시간감시기능을활성화한다. o DNS 관리자는 fncarp.com 사이트에대하여 lookback 설정을하므로써, DNS 사용자들이추가적으로감염되지않도록예방한다.

2024 © docsplayer.org 개인정보보호 | 약관 | 지원