좋은 의도로 시작한 연말 정산이지만, 잘못하면 엉뚱한 금액이 추가로 지불 될 수 있다. 연초에는 근로자가 세금 환급을 통해 ‘제2의 보너스’를 챙길 수 있는 연말정산이 진행된다. 악성코드 제작자에게 ‘연말정산’ 이라는 핫 키워드는 매력적일 것이다. 이전에도 연말정산 시즌이 되면 어김없이 세금과 관련한 악성 스팸 메일이 유포되었다. 악성코드 제작자가 연말정산 시즌을 악용하여 악성코드 유포를 할 가능성이 높아, 이에 사용자들의 주의를 환기하기 위해 최근 발견된 호주 국세청을 위장한 악성 스팸 메일을 살펴보고자 한다.
[그림 1] 세금 관련 악성스팸 사례 1
[그림 2] 세금 관련 악성스팸 사례 2
호주 국세청(Australian Taxation Office)에서 발송한 것으로 위장된 메일에 “Tax Report.zip” 파일을 첨부하여 유포된 형태로, 메일 본문은 첨부된 파일을 참고하도록 유도한다. 첨부된 파일은 압축을 해제하면 엑셀 파일로 보이지만 실제로는 실행가능한 exe 파일이다.
[그림 3] 호주 국세청을 위장한 악성 스팸메일
첨부된 파일이 실행되면 ‘msrkuoi.com’ 파일이 생성이 된다. ‘msrkuoi.com’ 파일은 wuauclt 프로세스에 핸들로 등록되어 동작하게 된다. 프랑스에 위치한 시스템에 접속을 시도하고 추가적인 파일 다운로드를 시도한다.
[파일 생성]
C:DOCUME~1ALLUSE~1LOCALS~1Tempmsrkuoi.com
[레지스트리 등록]
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun62998 “C:DOCUME~1ALLUSE~1LOCALS~1Tempmsrkuoi.com”
[네트워크 정보]
wuauclt.exe HTTP CONNECT 127.0.0.1 => 213.XXX.XX.19:80 XXXX.net//profiles/XXXX/translations/prx.exe
[그림 4] wuauclt 프로세스에 핸들로 동작하는 악성코드
V3 제품에서는 아래와 같이 진단이 가능하다.
Trojan/Win32.Jorik
Categories:악성코드 정보