좋은 의도로 시작한 연말 정산이지만, 잘못하면 엉뚱한 금액이 추가로 지불 될 수 있다. 연초에는 근로자가 세금 환급을 통해 '제2의 보너스'를 챙길 수 있는 연말정산이 진행된다. 악성코드 제작자에게 '연말정산' 이라는 핫 키워드는 매력적일 것이다. 이전에도 연말정산 시즌이 되면 어김없이 세금과 관련한 악성 스팸 메일이 유포되었다. 악성코드 제작자가 연말정산 시즌을 악용하여 악성코드 유포를 할 가능성이 높아, 이에 사용자들의 주의를 환기하기 위해 최근 발견된 호주 국세청을 위장한 악성 스팸 메일을 살펴보고자 한다.

 

[그림 1] 세금 관련 악성스팸 사례 1

 

[그림 2] 세금 관련 악성스팸 사례 2

 

호주 국세청(Australian Taxation Office)에서 발송한 것으로 위장된 메일에 "Tax Report.zip" 파일을 첨부하여 유포된 형태로, 메일 본문은 첨부된 파일을 참고하도록 유도한다. 첨부된 파일은 압축을 해제하면 엑셀 파일로 보이지만 실제로는 실행가능한 exe 파일이다.

 

 

[그림 3] 호주 국세청을 위장한 악성 스팸메일

 

첨부된 파일이 실행되면 'msrkuoi.com' 파일이 생성이 된다. 'msrkuoi.com' 파일은 wuauclt 프로세스에 핸들로 등록되어 동작하게 된다. 프랑스에 위치한 시스템에 접속을 시도하고 추가적인 파일 다운로드를 시도한다.

 

 

[파일 생성]

C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msrkuoi.com    

 

[레지스트리 등록]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\62998     "C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msrkuoi.com"

 

[네트워크 정보]

wuauclt.exe     HTTP CONNECT     127.0.0.1    =>    213.XXX.XX.19:80     XXXX.net//profiles/XXXX/translations/prx.exe    

 

[그림 4] wuauclt 프로세스에 핸들로 동작하는 악성코드

 

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Jorik

신고
Posted by DH, L@@