좋은 의도로 시작한 연말 정산이지만, 잘못하면 엉뚱한 금액이 추가로 지불 될 수 있다. 연초에는 근로자가 세금 환급을 통해 '제2의 보너스'를 챙길 수 있는 연말정산이 진행된다. 악성코드 제작자에게 '연말정산' 이라는 핫 키워드는 매력적일 것이다. 이전에도 연말정산 시즌이 되면 어김없이 세금과 관련한 악성 스팸 메일이 유포되었다. 악성코드 제작자가 연말정산 시즌을 악용하여 악성코드 유포를 할 가능성이 높아, 이에 사용자들의 주의를 환기하기 위해 최근 발견된 호주 국세청을 위장한 악성 스팸 메일을 살펴보고자 한다.
[그림 1] 세금 관련 악성스팸 사례 1
[그림 2] 세금 관련 악성스팸 사례 2
호주 국세청(Australian Taxation Office)에서 발송한 것으로 위장된 메일에 "Tax Report.zip" 파일을 첨부하여 유포된 형태로, 메일 본문은 첨부된 파일을 참고하도록 유도한다. 첨부된 파일은 압축을 해제하면 엑셀 파일로 보이지만 실제로는 실행가능한 exe 파일이다.
[그림 3] 호주 국세청을 위장한 악성 스팸메일
첨부된 파일이 실행되면 'msrkuoi.com' 파일이 생성이 된다. 'msrkuoi.com' 파일은 wuauclt 프로세스에 핸들로 등록되어 동작하게 된다. 프랑스에 위치한 시스템에 접속을 시도하고 추가적인 파일 다운로드를 시도한다.
[파일 생성]
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msrkuoi.com
[레지스트리 등록]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\62998 "C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msrkuoi.com"
[네트워크 정보]
wuauclt.exe HTTP CONNECT 127.0.0.1 => 213.XXX.XX.19:80 XXXX.net//profiles/XXXX/translations/prx.exe
[그림 4] wuauclt 프로세스에 핸들로 동작하는 악성코드
V3 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명>
Trojan/Win32.Jorik
'악성코드 정보' 카테고리의 다른 글
| 국방 관련 한글파일로 위장한 파일 발견 (0) | 2013.02.04 |
|---|---|
| 국내 방산업체 APT 공격 포착 (1) | 2013.02.01 |
| 국내 인터넷 뱅킹 정보 탈취 악성코드 for Windows, Android (0) | 2013.02.01 |
| 온라인 뱅킹 트로이목마 Banki(2) (0) | 2013.02.01 |
| 온라인 뱅킹 트로이목마 Banki(1) (0) | 2013.02.01 |
댓글