본문 바로가기
IT 보안소식

[SpamMail] "Email Policy Violation" 제목으로 전파 되는 메일 주의!!

by 잡다한 처리 2010. 7. 15.
반응형



현재 일본쪽에서 전파가 되고 있는 스팸메일이다.
Forwarded message.zip 파일이 첨부 파일로 들어가 있다.

- 파일 정보
Forwarded message.exe(V.DWN.Waledac.27648로 탐지 예정)
C:\WINDOWS\Temp\_ex-08.exe(V.WOM.Waledac로 탐지 예정)
C:\Documents and Settings\All Users\Application Data\(랜덤숫자)\(랜덤숫자).exe(V.TRJ.FakeAV.SecurityTool 로 탐지예정)

- 다운로드 정보
http://85.234.***.101/mrmun_sgjlwg.exe((랜덤숫자).exe 파일과 동일한 파일)
http://85.234.***.101/bat.exe(_ex-08.exe 파일과 동일한 파일)

- 레지스트리 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"sniffer" = "C:\WINDOWS\Temp\_ex-08.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"랜덤숫자" = "C:\Documents and Settings\All Users\Application Data\(랜덤숫자)\(랜덤숫자).exe"

국내에는 Security Tool Fake AntiVirus 로 한때 유명했던 놈이다.




댓글