본문 바로가기
악성코드 정보

미국우편공사(USPS)로 위장한 스팸메일

by DH, L@@ 2013. 6. 4.

 

 한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다.

 

 

[메일 본문]

 

Notification

 

Our company's courier couldn't make the delivery of package.

REASON: Postal code contains an error.

LOCATION OF YOUR PARCEL: New York

DELIVERY STATUS: sort order

SERVICE: One-day Shipping

NUMBER OF YOUR PARCEL: 5D61MZ1F2X

FEATURES: No

Label is enclosed to the letter.

Print a label and show it at your post office.

An additional information:

If the parcel isn't received within 30 working days our company will have the right to claim compensation from you for it's keeping in the amount of $8.26 for each day of keeping of it.

You can find the information about the procedure and conditions of parcels keeping in the nearest office.

Thank you for using our services.

 

USPS Global.

 

첨부된 파일을 실행하면 아래와 같은 파일들이 생성된다.

 

[파일 생성]

C:\Documents and Settings\Administrator\Application Data\Akta\ixyzs.exe

 

그리고 레지스트리에 특정 값을 등록하여, 방화벽을 우회하고 부팅 시 자동으로 실행될 수 있도록 한다.

 

[레지스트리 등록]

[그림 1] 레지스트리에 등록되는 악성코드 관련 기능

 

그리고 악성코드 감염이 완료되면 자신을 삭제하여 흔적을 제거한다.

 

[흔적 제거를 위한 배치파일]

 

@echo off

:d

del "C:\Documents and Settings\Administrator\Desktop\LABEL-ID-56753547-GFK72.exe"

if exist "C:\Documents and Settings\Administrator\Desktop\LABEL-ID-56753547-GFK72.exe" goto d

del /F "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpeeade0cd.bat"

 

악성코드에 감염되면 독일에 위치한 것으로 확인되는 원격의 시스템에 연결을 반복하여 시도한다.

 

[그림 2] 지속적으로 접속을 시도하는 악성코드

 악성 스팸 메일 중에서 운송 업체를 사칭하는 악성 스팸 메일의 비중이 높은 편이다. 특히 운송 업체를 사칭하는 방법은 오래되었으며 동일한 방법으로 꾸준히 지속되고 있다. 그 것은 피해사례가 여전히 발생하고 있다는 것을 의미한다. 따라서 발신인이 명확하지 않거나 파일이나 본문에 링크가 삽입된 메일에 대해서는 사용자의 각별한 주의가 필요하다.

 

<V3 제품군의 진단명>

Win-Trojan/Agent.297984.AW


댓글