지인(엘뤼아르)으로 부터 오전에 메일을 한통 전달 받았다.
확인해 보니 딱 봐도 스팸같이 생긴 메일이였다 ㅎㅎㅎ
최근 스팸이 잘 안왔는데, 역시 의리메일!! 감사 ㅋㅋ
암튼 간단하게 확인해 보자.
우선 전달 된 스팸메일은 아래와 같이 오니 주의하시길...!!
- 스팸메일 내용
제목 : 이쁜 강아지 무료분양!
본문 :
요크샤(힌색) 강아지 요즘집을 자주 비워서 강아지를 키울수 없는 상화이라서 관심있는분 사진보고 연락주세요.. 감사합니다.
첨부파일 : 사진.zip
스팸메일에 첨부 된 사진.zip는 실제 존재하지 않는 파일이며, href Tag를 이용하여 외부 서버에서 다운로드 받게 된다.
접속 하는 서버는 http://103.243.**.**:8080/__.zip 이다.
다운로드 된 파일은 압축파일로써, 내부에 #Uc0ac#Uc9c4 폴더에 #U202egpj.#Uc9c4#Uc0ac.scr 파일로 저장되어 있다.
최초 파일이 실행되면, 아래와 같은 경로에 파일 및 레지스트리를 수정한다.
- 파일 생성
C:\Program Files\c\1.exe
C:\Program Files\c\2.jpg
C:\Program Files\Common Files\1.exe
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\system32\drivers\etc\hosts.ics
- 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"koreaautoup" = "C:\Program Files\Common Files\1.exe"
스팸메일 제작자는 강아지 분양을 사칭해서 그런지 모르겠지만, 파일 실행 시 강아지 사진을 함께 보여주면서
사용자의 의심을 피하려 하고 있다.
아래 그림이 실제 파일 실행 시 보여지는 강아지 사진(2.jpg)이다.
(※ 참고로 이건 허스키의 새끼이다 ㅠㅠ 요크샤가 아니다 제작자야;;)
파일 생성이 완료 되면, 호스트(Hosts)파일을 변조 하기 위해 2곳의 URL에 접속을 시도한다.
hxxp://user.qzone.qq.com/2331297932
hxxp://pv.sohu.com/cityjson?ie=gb2312
첫 번째 URL은 Hosts 파일에 삽입 될 IP를 구하기 위해 중국 블로그에서 가져오게 된다.
아래 그림을 보면 알겠지만, "user_name" 부분을 파싱하여 Hosts 파일에 이용한다.
두 번째 URL은 감염 된 PC의 국가위치를 묻기 위해 접속하게 된다.
그리하여 변조 된 Hosts 파일과 Hosts.ics 에는 아래와 같은 내용이 삽입된다.
- Hosts 변조
220.147.97.123 www.naver.com
220.147.97.123 www.daum.net
220.147.97.123 daum.net
220.147.97.123 naver.com
220.147.97.123 safebank.korea.co.kr
'IT 보안소식' 카테고리의 다른 글
| [사이트 변조] Document.Referrer 함수를 이용한 악성코드 다운로드 방식 주의!! (2) | 2014.06.18 |
|---|---|
| 한RSS(HanRSS), 내부 서버 오류로 인한 접속 실패 (2014-06-17) (2) | 2014.06.17 |
| 구글 크롬(Google Chrome), 35.0.1916.153 업데이트!! (0) | 2014.06.12 |
| 안드로이드(Android), SDCard 특정파일을 암호화 시키는 랜섬웨어(Trojan.Android.Simplocker.A) 어플리케이션 주의 (0) | 2014.06.05 |
| 스미싱(Smishing), "자동입력방지 문자(캡챠 코드)"를 통한 악성 어플리케이션 다운로드 주의 (4) | 2014.05.27 |
댓글