2010년 9월 10일 새벽 해외에서 악성코드를 감염시키기 위한 목적으로 악의적인 스팸(SpamMail)이 대량 유포된 것이 SANS의 블로그 “'Here You Have' Email“와 다수의 해외 보안 업체 및 언론 등을 통해 알려지게 되었다.
이번 Swisyn 웜과 같이 이메일을 이용하여 대량 유포되는 매스 메일러(Mass Mailer) 웜(Worm)은 현재와 같이 금전적인 목적으로 개인 정보 탈취가 이루어지는 시대 상황에 따라 트로이목마(Trojan Horse)가 악성코드의 주류가 된 이후에는 그 유포 사례가 미비하다고 할 수 있다. 가장 최근에 유포되었던 매스 메일러 웜은 2010년 2월 구글(Google) 메일로 위장하여 감염을 시도한 Prolaco 웜의 발견 사례를 들 수가 있다.
이번에 유포된 Swisyn 웜은 다음과 같이 두 가지 형태의 메일 본문을 가지고 있으며 메일 제목 역시 “Here you have“와 “Just For you” 두 가지 형태를 가지고 있다.
해당 Swisyn 웜은 유포된 메일 본문에 존재하는 웹 사이트 링크를 클릭하게 되면 영국에 존재하는 특정 시스템에서 다운로드 하도록 되어 있으나 금일 오전 대량 유포가 시작 된 이후 유럽 지역 보안 업체들에 의해 신속하게 모두 차단되었다.
영국에 존재하는 특정 시스템에서 다운로드 되는 Swisyn 웜은 PDF_Document21_025542010_pdf.scr(290,816 바이트) 파일명을 가지고 있으며 마이크로소프트(Microsoft)의 비주얼 베이직(Visual Basic)으로 제작되어 있다.
해당 웜은 감염된 시스템에 존재하는 마이크로소프트의 아웃룩(Outlook)에서 이메일 주소들을 수집하여 해당 메일 주소들로 위 이미지와 동일한 내용의 이메일을 대량으로 발송하게 된다. 그리고 그 외에 이동형 저장 장치와 네트워크 공유 폴더로 웜을 전파하고자 시도한다.
이번 Swisyn 웜과 같이 이메일을 이용하여 대량 유포되는 매스 메일러(Mass Mailer) 웜(Worm)은 현재와 같이 금전적인 목적으로 개인 정보 탈취가 이루어지는 시대 상황에 따라 트로이목마(Trojan Horse)가 악성코드의 주류가 된 이후에는 그 유포 사례가 미비하다고 할 수 있다. 가장 최근에 유포되었던 매스 메일러 웜은 2010년 2월 구글(Google) 메일로 위장하여 감염을 시도한 Prolaco 웜의 발견 사례를 들 수가 있다.
이번에 유포된 Swisyn 웜은 다음과 같이 두 가지 형태의 메일 본문을 가지고 있으며 메일 제목 역시 “Here you have“와 “Just For you” 두 가지 형태를 가지고 있다.


발송되는 메일 본문은 위 이미지들과 같이 모두 HTML 기반으로 작성되어 있으며 악성코드 내부코드에 그대로 하드코딩되어 존재하고 있다.
해당 Swisyn 웜은 유포된 메일 본문에 존재하는 웹 사이트 링크를 클릭하게 되면 영국에 존재하는 특정 시스템에서 다운로드 하도록 되어 있으나 금일 오전 대량 유포가 시작 된 이후 유럽 지역 보안 업체들에 의해 신속하게 모두 차단되었다.
영국에 존재하는 특정 시스템에서 다운로드 되는 Swisyn 웜은 PDF_Document21_025542010_pdf.scr(290,816 바이트) 파일명을 가지고 있으며 마이크로소프트(Microsoft)의 비주얼 베이직(Visual Basic)으로 제작되어 있다.
해당 웜은 감염된 시스템에 존재하는 마이크로소프트의 아웃룩(Outlook)에서 이메일 주소들을 수집하여 해당 메일 주소들로 위 이미지와 동일한 내용의 이메일을 대량으로 발송하게 된다. 그리고 그 외에 이동형 저장 장치와 네트워크 공유 폴더로 웜을 전파하고자 시도한다.
Categories:악성코드 정보