해외에서 이메일을 이용해 대량 유포된 Swisyn 웜

2010년 9월 10일 새벽 해외에서 악성코드를 감염시키기 위한 목적으로 악의적인 스팸(SpamMail)이 대량 유포된 것이 SANS의 블로그 “'Here You Have' Email“와 다수의 해외 보안 업체 및 언론 등을 통해 알려지게 되었다.

이번 Swisyn 웜과 같이 이메일을 이용하여 대량 유포되는 매스 메일러(Mass Mailer) 웜(Worm)은 현재와 같이 금전적인 목적으로 개인 정보 탈취가 이루어지는 시대 상황에 따라 트로이목마(Trojan Horse)가 악성코드의 주류가 된 이후에는 그 유포 사례가 미비하다고 할 수 있다.

가장 최근에 유포되었던 매스 메일러 웜은 2010년 2월 구글(Google) 메일로 위장하여 감염을 시도한 Prolaco 웜의 발견 사례를 들 수가 있다.

이번에 유포된 Swisyn 웜은 다음과 같이 두 가지 형태의 메일 본문을 가지고 있으며 메일 제목 역시 “
Here you have“와 “Just For you” 두 가지 형태를 가지고 있다.

발송되는 메일 본문은 위 이미지들과 같이 모두 HTML 기반으로 작성되어 있으며 악성코드 내부코드에 그대로 하드코딩되어 존재하고 있다.

해당 Swisyn 웜은 유포된 메일 본문에 존재하는 웹 사이트 링크를 클릭하게 되면 영국에 존재하는 특정 시스템에서 다운로드 하도록 되어 있으나 금일 오전 대량 유포가 시작 된 이후 유럽 지역 보안 업체들에 의해 신속하게 모두 차단되었다.

영국에 존재하는 특정 시스템에서 다운로드 되는 Swisyn 웜은
PDF_Document21_025542010_pdf.scr(290,816 바이트) 파일명을 가지고 있으며 마이크로소프트(Microsoft)의 비주얼 베이직(Visual Basic)으로 제작되어 있다.

해당 웜은 감염된 시스템에 존재하는 마이크로소프트의 아웃룩(Outlook)에서 이메일 주소들을 수집하여 해당 메일 주소들로 위 이미지와 동일한 내용의 이메일을 대량으로 발송하게 된다. 그리고 그 외에 이동형 저장 장치와 네트워크 공유 폴더로 웜을 전파하고자 시도한다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments