본문 바로가기
악성코드 정보

과속 범칙금 메일로 위장한 악성코드 유포

by DH, L@@ 2013. 6. 11.

 

 최근 과속 범칙금 메일을 위장하여 유포되는 악성코드가 발견되었다. 국내 거주하는 사용자들에게는 위험성이 다소 낮지만 유포되는 악성코드가 최근 해외 금융 사 등의 메일로 배포되는 악성코드와 유사한 악성코드로 사용자들의 주의가 요구된다. 본문 내용은 다음과 같다.

 

 

[그림 1] 과속 범칙금 메일로 위장한 메일 본문

 

위의 내용을 보면 메일에 첨부된 파일을 실행하도록 유도하는 내용을 확인할 수 있으며, 메일에 첨부된 파일은 아래와 같다.

[그림 2] 첨부된 악성코드

 

해당 파일을 실행하면 아래와 같은 자신의 파일을 복제하여 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 특히, 자신의 파일을 복제할 때는 5자리 임의의 폴더 및 파일 이름으로 복제하며 악성코드 감염 시, 생성되는 배치파일은 자신의 파일을 스스로 삭제하여 흔적을 감추는 기능을 한다.

 

[파일 생성]

C:\Documents and Settings\Administrator\Application Data\Tejif\saado.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpab59ca6c.bat

[레지스트리 등록]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{07B002BD-02AB-AD7F-31B7-BBCB31C598D9}

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\27641:UDP

 

1) 악성코드 파일을 시작 프로그램 등록

2) explorer.exe 프로세스에 대해 방화벽 예외 설정 정책 설정

3) UDP를 사용하는 27641 포트 개방

4) TCP를 사용하는 24266 포트 개방

 

추가로 Address Book 폴더에 있는 Administrator.wab 파일은 Microsoft Windows 의 사용자 주소록과 관련된 파일로 악성코드 실행 시, Administrator.wab 파일에 접근하는 로그도 확인된다. 이는 해당 악성코드가 봇 기능 외에도 사용자들의 연락처 정보를 이용하는 것을 알 수 있다.

 

[악성코드가 접근하는 파일 경로]

C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab

    

[그림 3] Administrator.wab 파일

 

 

또한 아래 그림과 같이 네트워크 연결정보도 확인된다.

 

[그림 4] 악성코드 감염 시 네트워크 연결 정보

 

위의 악성코드의 경우, 지속적으로 발견되고 있는 메일 위장 악성코드와 같은 류의 악성코드로 발신인이 명확하지 않은 이메일, 그리고 의심스러운 링크가 포함되어 있거나 특정 파일을 실행하도록 유도하는 이메일에 대해서 각별히 주의한다면 감염을 방지할 수 있다.

 

 

해당 악성코드는 V3 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Trojan/Win32.Zbot


댓글