스팸메일

과속 범칙금 메일로 위장한 악성코드 유포

   최근 과속 범칙금 메일을 위장하여 유포되는 악성코드가 발견되었다. 국내 거주하는 사용자들에게는 위험성이 다소 낮지만 유포되는 악성코드가 최근 해외 금융 사 등의 메일로 배포되는 악성코드와 유사한 악성코드로 사용자들의 주의가 요구된다. 본문 내용은 다음과 같다.     [그림 1] 과속 범칙금 메일로 위장한 메일 본문   위의 내용을 보면 메일에 첨부된 파일을 실행하도록 유도하는 내용을 확인할 수 있으며, 메일에 첨부된 파일은 아래와 같다. [그림 2] 첨부된 악성코드   해당 파일을 실행하면 아래와 같은 자신의 파일을 복제하여 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 특히, 자신의 파일을 복제할 때는 5자리 임의의 폴더 및 파일 이름으로 복제하며 악성코드 감염 시, 생성되는 배치파일은 자신의 파일을 스스로 삭제하여 흔적을 감추는 기능을 한다.   [파일 생성] C:Documents and SettingsAdministratorApplication DataTejifsaado.exe C:DOCUME~1ADMINI~1LOCALS~1Temptmpab59ca6c.bat [레지스트리…

금융사 정보로 위장한 스팸메일

   금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다. [그림 1] 금융사 정보로 위장한 스팸메일 압축 해제된 파일을 실행하면 C:Documents and Settingsahnmaru78Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다. 또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다. HKCUSoftwareMicrosoftWindowsCurrentVersionRun{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}   그리고 아래와 같이 특정 포트를 방화벽에서 허용하여 안전하게 통신을 할 수 있도록 설정한다. HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList14202:UDP “14202:UDP:*:Enabled:UDP 14202” HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList17000:TCP “17000:TCP:*:Enabled:TCP 17000”   감염이 완료된 후 악성코드는 다수의 C&C서버로 보이는 IP들에게 데이터를 전송하고 받아오는 등 통신 과정을 반복하고 아래 웹 사이트에서 추가로 악성파일을 다운로드 하여 감염시킨다. * http:// a*********.co.za/pon(2).exe [그림 2] 악성파일 다운로드   추가 감염된 악성코드는…

Bank of America로 위장한 스팸메일

  최근 Bank of America에서 보낸 것으로 위장하여 악성코드를 배포하는 스팸 메일이 발견 되어 사용자들의 주의가 요구된다. 이번에 발견 된 스팸메일은 “You transaction is completed” (당신의 계좌 이체는 성공하였습니다.)라는 제목을 사용하였으며, 본문 내용은 다음과 같다.   [그림 1] Bank of America로 위장한 스팸메일 본문 해당 스팸 메일은 “Receipt of payment is attached.” (영수증은 첨부해드립니다.)라는 표현을 쓰면서 첨부 된 파일의 실행을 유도한다. 첨부 파일은 zip 파일로 되어 있으며, 내부에는 실행 파일 형태로 악성코드가 존재하기 때문에 주의가 필요하다.   또한 “This is an automatically generated email, please do not reply” (이 메일은 자동으로 생성되었으므로, 회신은 하지 말아주세요.)라는 표현을 이용하여, 진짜 알림 메일처럼 회신 금지 메시지를 표시하고 있다. 해당 스팸메일의 발신인은 inco********aw3@gmail.com이라는 구글 gmail 계정을 사용하는 것으로 파악된다.   첨부 파일은 “PAYMENT RECEIPT…

UPS 화물 운송장으로 위장한 스팸메일

   UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다.   [그림 1] 스팸 메일에 첨부 된 html 파일 html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다.   [그림 2] 악성코드를 유포하는 웹 사이트   첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안설정에 의해 차단되는 것을 방지한다. 그리고 폴더 옵션을 변경하여 윈도우 탐색기에서 보이지 않도록 설정한다.   [파일 생성] C:Documents and Settings[login user]Application…

미국우편공사(USPS)로 위장한 스팸메일

   한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다.     [메일 본문]   Notification   Our company's courier couldn't make the delivery of package. REASON: Postal code contains an error. LOCATION OF YOUR PARCEL: New York DELIVERY STATUS: sort order SERVICE: One-day Shipping NUMBER OF YOUR PARCEL: 5D61MZ1F2X FEATURES: No Label is enclosed to the letter. Print a label and show it at your post office. An additional information: If the parcel isn't received within 30 working days our…