2010년 9월 28일 국내에서 발견되었던 USPS(United States Postal Service) 운송 메일로 위장하여 악성코드 감염을 시도하였던 악성 스팸 메일(Spam Mail)이 금일 새벽 국내에서 다시 유포되었다.
이번에 USPS 운송 메일로 위장하여 유포된 악성코드는 Oficla 변형 중 하나이며 2010년 5월에는 UPS, 2010년 8월에는 페덱스(Fedex)로 위장하여 유포된 사례가 있으며 메일 본문 전체를 JPEG 파일로 처리하는 특징이 있다.
2010년 9월 28일 새벽에 유포된 Oficla 변형은 메일 제목으로 “USPS Delivery Problem NR[임의의 숫자]“를 가지고 있으며 메일 본문에는 xxs664.jpg(27,692 바이트)의 JPEG 파일로 처리하여 다음과 같은 형태를 가지고 있다.
첨부 파일로는 “USPSLabel.zip(25,083 바이트)“이 존재하며 ZIP으로 압축된 첨부 파일을 풀게 될 경우에는 “LABEL_USPSXLS.exe(178,176 바이트)“가 생성된다.
생성된 해당 파일을 실행하게 될 경우에는 윈도우 임시 폴더(c:windowstemp)에 1.tmp(21,504 바이트)가 생성되고 윈도우 시스템 폴더(c:windowssystem32)에 bfky.ojo(21,504 바이트)를 생성한다.
생성된 파일들 중 하나인 1.tmp(21,504 바이트)는 악성코드에 의해 실행된 정상 svchost.exe 파일의 메모리 영역 입부에 삽입되어 루마니아에 위치한 특정 시스템으로 접속을 시도하게 된다.
루마니아에 위치한 특정 시스템에 정상적으로 접속이 성공하게 될 경우에는 다시 독일에 위치한 특정 시스템으로 접속을 시도하게 되고 성공하게 될 경우에는 아래 이미지와 동일한 허위 백신을 설치하는 악성코드를 다운로드 한 후 실행하게 된다.
이번 USPS 운송 메일로 위장하여 유포된 악성코드와 해외에서 제작된 허위 백신을 설치하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Malware.178176.AB
Win-Trojan/Oficla.21504.F
Win-Trojan/Kazy.274432
Win-Trojan/Kazy.1040384
Win-Trojan/Kazy.145408
Win-Trojan/Kazy.18432
Categories:악성코드 정보