본문 바로가기
IT 보안소식

[SpamMail] DHL Express를 가장한 스팸메일로 전파되는 허위백신(FakeAV), XP Security 2011 주의!!

by 잡다한 처리 2011. 4. 5.
반응형



세계적인 택배회사인 DHL Express을 가장한 스팸메일(SpamMail)이 확인되었다.
메일 내용은 "배달 시킨 소포가 10일내로 도착한다. 자세한 내용과 추적번호는 문서에 첨부되어 있으니 확인하라" 라는 내용이다.

어느정도 눈치가 빠른 사람이라면 해당 내용이 스팸메일이라는 것을 확인했을것이다^^


제목 : DHL Express Services

본문 : Dear customer 

The parcel was sent your home adress
And it will arrive within 10 business days

More information and the tracking number
are attached in document below.

Thank You

© 1994-2011 DHL Express Services, Inc.

첨부파일 : dhl.zip

첨부 된 dhl.zip 파일은 "Fedex doc.exe" 파일을 가지고 있다.
Fedex doc.exe 파일은 PDF의 아이콘을 사용함으로써 사용자에게 실제 PDF로 작성 된 문서처럼 보여준다.



해당 파일(Fedex doc.exe)이 실행되면 특정 서버에서 또 다른 악성파일을 다운로드 한다.
다운로드 된 파일은 정상프로세스인 "svchost.exe" 프로세스에 인젝션되어 실행된다. 

http://puskovayaustanovka.ru/pusk2.exe


해당 서버는 러시아에 존재하는 것으로 확인된다!!

 


다운로드 된 pusk2.exe 파일은 다음 위치로 복사 된다.

C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\(랜덤3자리 알파벳).exe


복사 된 exe파일은
"XP Security 2001" 이라는 FakeAV 악성파일이 설치 된다.
앞에 XP는 실행 된 OS에 관련되어 바뀔 수 있을 것이라 추정된다.







첨부 파일과 다운로드 파일은 알약에서 다음과 같이 탐지 한다.

Trojan.Downloader.FraudLoad(Fedex doc.exe)
Trojan.FakeAV.XPHomeSecurity2011(랜덤3자리.exe)


- 수동으로 삭제 시 문제점

수동으로 프로세스와 파일을 삭제 한다고 해도 특정 레지스트리를 삭제하지 않는다면 다음과 같은 창을 보게 된다.



위의 창이 나오는 이유는 다음 레지스트리 때문이다.

HKEY_CLASSES_ROOT\.exe\shell\open\command
"기본값" = ""C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\(랜덤3자리).exe" -a "%1" %*"

HKEY_CLASSES_ROOT\exefile\shell\open\command
"기본값" = ""C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\(랜덤3자리).exe" -a "%1" %*"


위의 레지스트리를 보면 (랜덤3자리).exe 파일이 ".exe" 확장자의 파일이 실행 됨과 동시에 실행 된다는 것을 알 수 있다.
따라서 해당 레지스트리를 삭제 하려면 안전모드로 부팅하여 위의 레지스트리(기본값)를 지우면 된다^^
(참고로 알약에서는 해당 레지스트리를 자동으로 삭제하니, 알약으로 치료하시길 바란다!!)


안전모드로 부팅하는 방법은 아래를 참고하시길 바란다!!



댓글