"report", "Delivery Status Notification (Failure)" 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다.

1. 메일제목 
 ▶ report


Sending my report. Have a great weekend.
Cheers

2. 메일제목 
 
Delivery Status Notification (Failure)

Delivery to the following recipient failed permanently:
ampoulesvb8@resp-usc.com
Technical details of permanent failure:
DNS Error: Domain name not found


해당 html들은 악성코드 제작자가 만든 패턴에 의해 인코딩 되어 있습니다. 인코딩을 풀어보면 아래와 같이 웹페이지를 리디렉션하는 디코딩된 결과가 나오게 됩니다.

<meta http-equiv="refresh" content="0;url=http://XXXXXXXXXXXXX/x.html>



[그림 1. 스팸메일에 첨부된 인코딩 된 악성HTML파일]

최종적으로 아래 그림과 같은 악성코드 유포 사이트로 연결이 되게 되며 사용자의 시스템을 스캔하는 듯 현혹하기 위해 미리 만들어 둔 플래쉬 파일이 구동이 됩니다. 이전에 나온 패턴들과 동일하게 사용자에게 시스템이 감염되었다는 경고 메세지 창과 함께 파일을 다운로드 받아 실행하도록 유도합니다.



[그림 2. 악성코드 유포사이트 (1)]




[그림 3. 악성코드 유포사이트 (2)]

다운로드 된 파일은 아래와 같이 구성 파일 아이콘을 가지고 있지만 확장자에서 실행파일임을 짐작할 수 있습니다.



[그림 4. 최종적으로 다운로드된 악성코드]


첨부된 악성코드들은 V3 엔진에 반영되어 업데이트 될 예정입니다.

사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.


신고
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193
http://core.ahnlab.com/196

상기 링크 글들에서 광고성 html을 가장하여 악성코드를 다운로드하는 HTML 첨부 파일 및 HTML 링크를 삽입한 스팸메일 관련하여 포스팅하였습니다.

지속적으로 해당 스팸메일의 변형이 발견되고 있으며 최근에 발견된 스패메일은 아래와 같은 제목으로 유포되고 있습니다.

Delivery Status Notification (Delay)
Delivery Status Notification (Failure)

해당 스팸메일에 첨부된 파일은 아래와 같은 파일명의 html 파일입니다.

Forwarded Message.html

첨부된 html 파일을 실행하면 이전과 동일하게 iframe이 삽입된 URL로 연결이 되게 되며 아래와 같은 난독화된 스크립트를 확인할 수 있습니다.



난독화된 스크립트 디코딩 후 수집한 파일들은 아래와 같이 수집되었으며 분석 후 V3 엔진에 반영될 예정입니다. 추가적으로 악성으로 추정되는 PDF 파일을 수집하여 V3엔진에 반영하도록 하겠습니다.








신고
Posted by 비회원