금융사 정보로 위장한 스팸메일 Posted By ASEC , 2013년 6월 10일 금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다. [그림 1] 금융사 정보로 위장한 스팸메일 압축 해제된 파일을 실행하면 C:Documents and Settingsahnmaru78Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다. 또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다. HKCUSoftwareMicrosoftWindowsCurrentVersionRun{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6} 그리고 아래와 같이 특정 포트를 방화벽에서 허용하여 안전하게 통신을 할 수 있도록 설정한다. HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList14202:UDP “14202:UDP:*:Enabled:UDP 14202” HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList17000:TCP “17000:TCP:*:Enabled:TCP 17000” 감염이 완료된 후 악성코드는 다수의 C&C서버로 보이는 IP들에게 데이터를 전송하고 받아오는 등 통신 과정을 반복하고 아래 웹 사이트에서 추가로 악성파일을 다운로드 하여 감염시킨다. * http:// a*********.co.za/pon(2).exe [그림 2] 악성파일 다운로드 추가 감염된 악성코드는…
