본문 바로가기

악성코드 정보

스팸메일 주의! "Online order for airplane ticket N숫자"

최근 비행기 티켓과 관련된 스팸메일을 발송하여 허위 백신(Fake AV)을 설치하는 악성코드가 발견되어 알려 드립니다. 메일은 아래와 같은 제목으로 수신이 되게 됩니다.

제목 : Online order for airplane ticket N숫자

내용 : Good afternoon,
Thank you for using our new service "Buy airplane ticket Online" on our website.
Your account has been created:
Your login: 메일주소
Your password: G6vFjbdp
Your credit card has been charged for $998.63.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!
Kind regards,
Delta Air Lines

첨부파일로 eTicket.zip 이라는 파일을 포함하고 있습니다. 해당 파일을 실행하면 아래와 같이 허위 백신(Fake AV)가 설치되게 됩니다.

현재 해당 파일은 V3 제품군에서
Win-Trojan/Fakeav.186880.E 진단명으로 진단 및 치료가 가능합니다.





해당 허위 백신(Fake AV)는 설치 시 윈도우의 레지스트리를 수정하여 exe 파일 실행 시 허위 백신 프로그램과 같이 실행되도록 하고 있습니다.

따라서 레지스트리를 수정하지 않고 허위백신 실행 파일만 찾아 수동으로 삭제할 경우 아래와 같이 연결프로그램 창이 나타나며 EXE 파일이 모두 실행이 안되는 증상을 겪으실 수 있으니 사용자분들께서는 수동으로 제거를 하지 말고 V3 제품으로 치료를 하는 것을 권장 드립니다.