본문 바로가기
악성코드 정보

금융사 정보로 위장한 스팸메일

by DH, L@@ 2013. 6. 10.

 

 금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다.

[그림 1] 금융사 정보로 위장한 스팸메일

압축 해제된 파일을 실행하면 C:\Documents and Settings\ahnmaru78\Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다.

또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}

 

그리고 아래와 같이 특정 포트를 방화벽에서 허용하여 안전하게 통신을 할 수 있도록 설정한다.

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\14202:UDP "14202:UDP:*:Enabled:UDP 14202"

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\17000:TCP "17000:TCP:*:Enabled:TCP 17000"

 

감염이 완료된 후 악성코드는 다수의 C&C서버로 보이는 IP들에게 데이터를 전송하고 받아오는 등 통신 과정을 반복하고 아래 웹 사이트에서 추가로 악성파일을 다운로드 하여 감염시킨다.

* http:// a*********.co.za/pon(2).exe

[그림 2] 악성파일 다운로드

 

추가 감염된 악성코드는 PC에 저장된 다양한 사용자 정보를 수집할 목적으로 제작되었다.

이러한 악성코드의 특성상 사용자의 민감한 정보가 유출되는 등 추가 피해를 당할 가능성이 있으므로 주의가 필요하다.

[그림 3] 악성코드가 수집하는 프로그램 관련 정보

 

악성 메일에 대한 감염 피해를 예방하기 위한 방안으로 백신 프로그램을 사용하는 것은 사용자에게 많은 도움이 된다. 이메일 악성코드의 경우 변형이 발생한 것을 여러 보안 회사들이 쉽게 인지할 수 있고 대부분 신속하게 진단기능을 업데이트하기 때문이다.

그러나 악성코드 제작자들도 새로운 변형 악성코드를 제작할 때 보안 제품에서 탐지되지 않는 형태로 만들어내기 때문에 악성코드의 유포 초기에는 보안 제품을 사용하고 있다 하더라도 탐지되지 않는 경우가 있다. 따라서 이러한 악성코드에 감염되지 않기 위해서는 출처가 불분명한 메일을 열어보지 않아야 하고 특히 이메일에 첨부된 파일은 꼭 필요한 경우가 아니면 실행하지 않는 것이 중요하다.

 

 

<V3 제품군의 진단명>

Trojan/Win32.Zbot

댓글