[SpamMail] 페이스북 친구추가를 위장 된 스팸메일 주의!!

오늘 오랫만에 스팸메일을 하나 받았다.
(악성파일이 첨부 된 메일은 아니지만~ 그래도^^ 나름 괜찮았다 ㅋㅋ)

이번 메일은 "ELNORA Rangel wants to be friends on Facebook" 이라는 제목으로 친구추가를 요청한다는 내용의 메일이였다.

사용자는 스팸메일인지 모르고 "Confirm Friend Request(친구요청 승인)" 버튼을 눌렀다가는 특정 스크립트 서버에 접속을 하게된다.


- 악성 스크립트 서버

hxxp://backveard.***.**2.com/aligner-left.html
hxxp://bqredret.**/main.php

악성 스크립트는 최근 유행하는 BlackHole Exploiter(BlackHole Exploit Kit)를 사용하여 만들어진 스크립트로써,
난독화가 상당히 까다롭게 되어 있습니다.

또한 자바와 Adobe, 브라우저 취약점을 이용하여 사용자 PC에 취약점이 발견되면 특정 서버에서 파일을 다운로드 후 실행한다.

- 악성 파일 다운로드

hxxp://bqredret.**/w.php?f=****=2

hxxp://bqredret.**/w.php?f=****=3

hxxp://bqredret.**/w.php?f=****=4

hxxp://bqredret.**/w.php?f=****=5

hxxp://bqredret.**/w.php?f=****=6

hxxp://bqredret.**/w.php?f=****=7

hxxp://bqredret.**/w.php?f=****=8

hxxp://bqredret.**/w.php?f=****=9

hxxp://bqredret.**/w.php?f=****=10

hxxp://bqredret.**/w.php?f=****=11

hxxp://bqredret.**/w.php?f=****=12

hxxp://bqredret.**/w.php?f=****=13

다운로드 된 파일은 about.exe, calc.exe, info.exe, readme.exe 파일명으로 저장된다.

다운로드 된 파일이 실행되면, C:\Recycle.Bin 폴더에 파일이 생성된다.
(랜덤).exe 파일은 SpyEye의 실행파일이며, (랜덤) 파일은 이에 관련 된 Confing 파일이다.

상세분석은 하지 않았지만, 유명한 SpyEye(스파이아이)!! 역시나 하는 일이 많았다;;

대강만 살펴 본 결과 다음과 같은 프로세스에 인젝션이 가능하다.

• cmd.exe

• DRWEB32.exe

• explorer.exe

• lsass.exe

• svchost.exe

• winlogon.exe

• wmiprvse.exe

파일과 폴더, 레지스트리를 숨기기 위해 후킹을 시도한다.
(그래서 C:\Recycle.Bin 폴더도 안보이고, exe도 안보이고, 레지스트리도 안보이고...대체 보이는건 뭔가 ㄷㄷ)

• NtQueryDirectoryFile

• NtVdmControl

• NtEnumerateValueKey

• NtSetInformationFile

사용자의 정보를 가로채기 위해 엄청난 후킹을 시도한다.
(개인적으로 처음보는 함수들도 있다;;)

• TranslateMessage

• NtResumeThread

• LdrLoadDll

• InternetCloseHandle

• HttpSendRequestA

• HttpSendRequestW

• PR_Write

• send

• CryptEncrypt

• PFXImportCertStore

• InternetQueryOptionA

• HttpOpenRequestA

• HttpAddRequestHeadersA

• HttpQueryInfoA

• InternetReadFile

• InternetQueryDataAvailable

• InternetWriteFile

• InternetReadFileExA 

이...이건 간단하게 분석할 만한 놈이 아니다!! ㄷㄷ;;
(나중을 기약하자!! ㅠㅠ)

해당 파일들은 알약에서 "Trojan.SpyEye.Bin" 으로 탐지 된다.