[SpamMail] "이쁜 강아지 무료분양!" 을 사칭하여 호스트(Hosts)파일을 변경하는 스팸메일 주의!!

반응형
728x90




지인(엘뤼아르)으로 부터 오전에 메일을 한통 전달 받았다.

확인해 보니 딱 봐도 스팸같이 생긴 메일이였다 ㅎㅎㅎ


최근 스팸이 잘 안왔는데, 역시 의리메일!! 감사 ㅋㅋ



암튼 간단하게 확인해 보자.


우선 전달 된 스팸메일은 아래와 같이 오니 주의하시길...!!



- 스팸메일 내용

제목 : 이쁜 강아지 무료분양!


본문 : 

요크샤(힌색) 강아지 요즘집을 자주 비워서 강아지를 키울수 없는 상화이라서 관심있는분 사진보고 연락주세요.. 감사합니다.


첨부파일 : 사진.zip



스팸메일에 첨부 된 사진.zip는 실제 존재하지 않는 파일이며, href Tag를 이용하여 외부 서버에서 다운로드 받게 된다.

접속 하는 서버는 http://103.243.**.**:8080/__.zip 이다. 


다운로드 된 파일은 압축파일로써, 내부에 #Uc0ac#Uc9c4 폴더에 #U202egpj.#Uc9c4#Uc0ac.scr 파일로 저장되어 있다.



최초 파일이 실행되면, 아래와 같은 경로에 파일 및 레지스트리를 수정한다.

- 파일 생성

C:\Program Files\c\1.exe

C:\Program Files\c\2.jpg

C:\Program Files\Common Files\1.exe

C:\WINDOWS\system32\drivers\etc\hosts

C:\WINDOWS\system32\drivers\etc\hosts.ics


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"koreaautoup" = "C:\Program Files\Common Files\1.exe"


스팸메일 제작자는 강아지 분양을 사칭해서 그런지 모르겠지만, 파일 실행 시 강아지 사진을 함께 보여주면서

사용자의 의심을 피하려 하고 있다.


아래 그림이 실제 파일 실행 시 보여지는 강아지 사진(2.jpg)이다.

(※ 참고로 이건 허스키의 새끼이다 ㅠㅠ 요크샤가 아니다 제작자야;;)



파일 생성이 완료 되면, 호스트(Hosts)파일을 변조 하기 위해 2곳의 URL에 접속을 시도한다.

hxxp://user.qzone.qq.com/2331297932

hxxp://pv.sohu.com/cityjson?ie=gb2312


첫 번째 URL은 Hosts 파일에 삽입 될 IP를 구하기 위해 중국 블로그에서 가져오게 된다.

아래 그림을 보면 알겠지만, "user_name" 부분을 파싱하여 Hosts 파일에 이용한다.


두 번째 URL은 감염 된 PC의 국가위치를 묻기 위해 접속하게 된다.



그리하여 변조 된 Hosts 파일과 Hosts.ics 에는 아래와 같은 내용이 삽입된다.

- Hosts 변조

220.147.97.123 www.naver.com

220.147.97.123 www.daum.net

220.147.97.123 daum.net

220.147.97.123 naver.com

220.147.97.123 safebank.korea.co.kr



현재 알약에서는 스팸메일과 관련 된 파일들을 "Spyware.PWS.KRBanker.D" 로 탐지 된다.






반응형

댓글(32)

  • 엘뤼아르
    2014.06.12 18:20

    1등으로 댓글^^
    분석 해 주셔서 감사합니다.

  • 2014.06.12 18:39 신고

    저도 저런 스팸 메일 받아보고 싶은데... 메일 받아볼 기회가 없네요 ㅠㅠ

  • 2014.06.12 20:05 신고

    잘보고갑니다 ;;
    조심해야겟네요

  • 정승철
    2014.06.16 17:23

    알약으로 안보이는데요

  • 2014.06.20 06:47

    아.. 방금 동일한 스팸메일 열었어요
    모바일로 메일을 열어서 사진까지 눌렀는데 다운받아지곤 사진열어보니 없눈 사진이라고 뜨네요.
    어떻게 처리해야하는지요?

    • 2014.06.20 09:29 신고

      모바일로는 크게 상관이 없어보이네요^^;
      어차피 모바일에서 사용되는 실행파일과, 데스크탑에서 사용되는 실행파일의 종류가 틀리니~

  • 2014.06.20 12:51

    아ㅜ 저도 모바일로 열어봤는데..알수없는형식으로만 나오고 안나오는데 괜찮을까요?
    그러다 집이 아닌 다른 데스크탑으로 열어보려했는데..그컴터로 저장은 안하고 열어보기로 했지만
    프로그램 연결이 안된다고 못 봤거든요..
    괜찮은건가요?ㅜㅜ

    • 2014.06.20 13:03 신고

      모바일로는 상관없으시구요,
      데스크탑으로 열어서 강아지 사진을 보셨다면...
      감염 되셨을 겁니다 ㅠㅠ

    • 2014.06.27 10:44

      사진은 못봤다면 괜찮은건가요?
      안열려서 그냥 닫았어요..
      연결프로그램도 없다고 해서요..

    • 2014.06.27 13:05 신고

      넵~ 사진을 못보셨다면 실행되지 않은겁니다.

  • 김인
    2014.06.20 15:18

    이쁜강아지분양 메일 검색하니 이 글 하나 나오네요...
    저 이쁜강아지분양 메일 받아보고 열었어요..
    그러고 나서, 저도 모르는 사이에 제 메일로 다른 여러사람들에게 이쁜강아지분양 메일이 보내져있더라구요ㅠㅠ
    그걸 이제 확인했어요. 어떻게 해야할지 깜깜하네요..제 메일 계정을 삭제할수도 없고...
    어쩜 좋지요? 제발 도움 좀 부탁 드려요!! ㅠㅠ

    • 2014.06.20 15:21 신고

      이미 감염된건 어쩔 수 없구요;;
      우선 악성파일부터 삭제하시고, 이후 메일 비밀번호를 바꾸시는게 어떠실지요^^

  • 2014.06.24 03:24

    으아... ㅋㅋㅋ 전 뭔가해서 클릭했는데 아무것도 앙대고
    #U202egpj.1#Ub9bc#Uc560.scr
    #U202egpj.2#Ub9bc#Uc560.scr
    #U202egpj.3#Ub9bc#Uc560.scr
    #U202egpj.4#Ub9bc#Uc560.scr
    #U202egpj.5#Ub9bc#Uc560.scr
    파일만 나오내여 ㅋㅋㅋ ㅋㅋㅋㅋㅋ 맥이라서 아무것도 실행이 안된것 같아요ㅋㅋㅋ 휴 다행인듯;
    윈도우쓰시는 분들은 주의를 요하겠어요 ㅠㅠ

  • SupD
    2014.07.03 15:20

    저는 1.scr 이라는 파일로 같은 메일이 왔어요
    모르고 실행하니 파일이 사라졌는데 위에 적어주신 경로에 파일이 생성되진 않았네요..
    어떻게 찾아내야할지;;;

    • 2014.07.03 15:22 신고

      메일을 kjcc2@naver.com 으로 보내주시면 확인해보고 댓글 달아드리겠습니다.

  • SupD
    2014.07.03 15:31

    포딩했습니다. 혹시 몰라 다운로드 기록에서 링크확인하여 남깁니다.
    http://60.162.142.237/1.scr
    도움 감사드립니다 ^^

    • 2014.07.03 15:46 신고

      확인해 보니,
      C:\V417093lsrm417093 <- 이런 랜덤한 폴더에
      MUpdate.exe
      Ejmoo.dll <- 랜덤한 dll
      파일이 생성되네요^^

      또한 C:\WINDOWS\system32\drivers\etc 폴더에
      hosts.ics로 변경됩니다.

      치료 방법은 "MUpdate.exe' 프로세스를 종료하신 후
      C:\V417093lsrm417093 이런 폴더를 삭제하시고,
      hosts.ics 파일도 삭제하시면 됩니다.

    • SupD
      2014.07.03 15:53

      당황했는데 큰 도움됐습니다 ^^
      다시 한 번 감사드리며 드릴 수 있는게 추천 클릭하는것 밖에 없네요~
      앞으로도 블로그 종종 찾아뵈며 좋은 정보 많이 얻어가겠습니다!

    • 2014.07.03 15:56 신고

      별말씀을^^;
      외부 유출은 없으니 너무 걱정하지마세요~!!

  • junab
    2014.07.16 17:32

    안녕하세요?
    저도 얼마전 같은 메일을 받았었는데요.....대충 보고 그냥 넘겼는데..
    얼마전부터 제 메일로 제 네이트온에 추가되어 있는 사람들한테 동일한 메일을 발송하는것 같아요...
    바이러스 검사해도 안나오는데요..ㅠㅠ
    오늘은 또 메일이 '너의 사진' 이라는 제목으로 거의 동일한 메일이 제 메일로 발송되서 저한테도 오고 제 지인들한테 쫙 간듯해요..ㅠㅠ
    해결할 수 있나요??

    • 2014.07.16 17:37 신고

      우선 받으신 메일을 저에게 보내주세요
      kjcc2@naver.com 입니다.

      그럼 분석 후 어디 파일을 지우라고 말씀드릴 수 있을 듯 합니다.

  • 2014.08.12 21:27

    안녕하세요 저는 보낸메일함에서 확인했고요ㅠㅠ 저것 말고도 너의 ps사진을 확인하라는 메일이 있어서 들어가서 다운받고 실행까지 시켰습니다. 감염여부를 잘 모르겠어요 무서워서 host란 파일을 지우기도 했는데 도움주실 수 있을까요ㅠㅠ

  • 2014.08.20 22:30

    전 메일을 해킹 당했네요
    보낸편지함 열어보니 님이 올리신 내용의 메일을 여기저기 뿌려놨더군요..비번 변경 해 뒀는데 그걸로 안심해도 될까요? 네이트 메일이라 싸이월드나 메신저도 전부 연동되어 있어 또 다른 피해가 있을지 걱정이네요

    • 2014.08.20 23:55 신고

      이미 해킹당했으니 조치사항으로는 비번을 어렵게 하는 수밖에 ㅜㅜ
      안타깝습니다.

  • 2014.10.06 22:55

    좋은정보 감사합니다ㅜㅜ
    모바일이라 걱정많이 했는데 모바일은 괜찮은건가요?

Designed by JB FACTORY