본문 바로가기
IT 보안소식

[SpamMail] "이쁜 강아지 무료분양!" 을 사칭하여 호스트(Hosts)파일을 변경하는 스팸메일 주의!!

by 잡다한 처리 2014. 6. 12.
반응형




지인(엘뤼아르)으로 부터 오전에 메일을 한통 전달 받았다.

확인해 보니 딱 봐도 스팸같이 생긴 메일이였다 ㅎㅎㅎ


최근 스팸이 잘 안왔는데, 역시 의리메일!! 감사 ㅋㅋ



암튼 간단하게 확인해 보자.


우선 전달 된 스팸메일은 아래와 같이 오니 주의하시길...!!



- 스팸메일 내용

제목 : 이쁜 강아지 무료분양!


본문 : 

요크샤(힌색) 강아지 요즘집을 자주 비워서 강아지를 키울수 없는 상화이라서 관심있는분 사진보고 연락주세요.. 감사합니다.


첨부파일 : 사진.zip



스팸메일에 첨부 된 사진.zip는 실제 존재하지 않는 파일이며, href Tag를 이용하여 외부 서버에서 다운로드 받게 된다.

접속 하는 서버는 http://103.243.**.**:8080/__.zip 이다. 


다운로드 된 파일은 압축파일로써, 내부에 #Uc0ac#Uc9c4 폴더에 #U202egpj.#Uc9c4#Uc0ac.scr 파일로 저장되어 있다.



최초 파일이 실행되면, 아래와 같은 경로에 파일 및 레지스트리를 수정한다.

- 파일 생성

C:\Program Files\c\1.exe

C:\Program Files\c\2.jpg

C:\Program Files\Common Files\1.exe

C:\WINDOWS\system32\drivers\etc\hosts

C:\WINDOWS\system32\drivers\etc\hosts.ics


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"koreaautoup" = "C:\Program Files\Common Files\1.exe"


스팸메일 제작자는 강아지 분양을 사칭해서 그런지 모르겠지만, 파일 실행 시 강아지 사진을 함께 보여주면서

사용자의 의심을 피하려 하고 있다.


아래 그림이 실제 파일 실행 시 보여지는 강아지 사진(2.jpg)이다.

(※ 참고로 이건 허스키의 새끼이다 ㅠㅠ 요크샤가 아니다 제작자야;;)



파일 생성이 완료 되면, 호스트(Hosts)파일을 변조 하기 위해 2곳의 URL에 접속을 시도한다.

hxxp://user.qzone.qq.com/2331297932

hxxp://pv.sohu.com/cityjson?ie=gb2312


첫 번째 URL은 Hosts 파일에 삽입 될 IP를 구하기 위해 중국 블로그에서 가져오게 된다.

아래 그림을 보면 알겠지만, "user_name" 부분을 파싱하여 Hosts 파일에 이용한다.


두 번째 URL은 감염 된 PC의 국가위치를 묻기 위해 접속하게 된다.



그리하여 변조 된 Hosts 파일과 Hosts.ics 에는 아래와 같은 내용이 삽입된다.

- Hosts 변조

220.147.97.123 www.naver.com

220.147.97.123 www.daum.net

220.147.97.123 daum.net

220.147.97.123 naver.com

220.147.97.123 safebank.korea.co.kr



현재 알약에서는 스팸메일과 관련 된 파일들을 "Spyware.PWS.KRBanker.D" 로 탐지 된다.






댓글