2011년 7월 28일부터 유명 리조트나 호텔명을 악용하여 사용한 신용 카드 결제에서 오류가 발생하였다는 허위 메일을 발송하여 첨부된 악성코드를 실행하도록 유도하는 악의적인 스팸 메일(Spam Mail)이 유포되었다.
해당 악의적인 스팸 메일은 유명 리조트나 호텔명을 언급하여 메일을 수신한 일반인들이 실제 사용하는 신용카드에 문제가 있는 것으로 위장하여 첨부된 악성코드를 실행하도록 유도하고 있다.
이 번에 발견된 해당 악성코드는 다음과 같이 다양한 메일 제목과 메일 본문들을 사용하고 있으며, 다음 중 하나가 임의로 사용되고 있다. 그리고 메일 본문에는 7월 26일에 결제한 호텔 경비가 더 결제되었음으로 이를 돌려 받기위해서는 첨부 파일에 은행 구좌들을 작성해 달라는 문구로 첨부 파일을 실행하도록 유도하고 있다.
<메일 제목>
Hotel [호텔명] made wrong transaction
[호텔명] made wrong transaction
Wrong transaction from your credit card in [리조트명] Golf Resort
Wrong transaction from your credit card in [호텔명]
<메일 본문>
Dear Customer!
Transaction: Visa [숫자 5자리]_r
We are sorry to inform you that on July 26th, 2011 Hotel transaction debiting from your account for an overall amount of $1232.
For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company.
For the return of funds please contact your bank and fill information in the attached form.
You?ll need the attached detalization of your account transactions to apply for the return of funds.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.
Victorine Mccrandle,
Manager of Reception Desk & Reservation Departament
Dear Guest!
Transaction: Visa [숫자 5자리]_oxi8q
On July 26th, 2011 Hotel made wrong transaction debiting from your credit card for an overall amount of $1122.
For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction writing-down.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.
Silver Rousch,
Manager of Reception Desk & Reservation Departament
<첨부 파일>
RefundForm[숫자 4자리].zip
위와 같은 형식을 가진 악의적인 스팸 메일에 첨부된 RefundForm[숫자 4자리].zip의 압축을 풀게 되면 다음과 같은 아이콘을 가진 Refund_Form.exe 파일 생성된다.
생성된 해당 파일을 실행하게 되면 윈도우(Windows) 시스템에 존재하는 정상 svchost.exe 파일을 실행 시킨 이후 해당 정상 프로세스의 특정 메모리 영역에 해당 파일 전체를 덮어 쓰게 된다.
생성된 해당 파일을 실행하게 되면 윈도우(Windows) 시스템에 존재하는 정상 svchost.exe 파일을 실행 시킨 이후 해당 정상 프로세스의 특정 메모리 영역에 해당 파일 전체를 덮어 쓰게 된다.
그리고 해당 정상 svchost.exe의 프로세스를 이용해 아래 이미지와 같이 러시아(Russia)에 위치한 특정 시스템에서 soft.exe(385,024 바이트)를 다운로드 한다.
다운로드 된 해당 파일은 기존에 발견되었던 악의적인 스팸 메일이 다운로드 하는 것과 동일한 허위 백신이 실행된다.
다운로드 된 해당 파일은 기존에 발견되었던 악의적인 스팸 메일이 다운로드 하는 것과 동일한 허위 백신이 실행된다.
이 번에 발견된 신용 카드 결제에서 오류가 발생하였다는 허위 메일에 첨부되어 있는 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 그러나 다양한 변형들이 존재함으로 위에서 언급한 메일 형식과 유사한 메일에 존재하는 첨부 파일은 주의가 필요하다.
Win-Trojan/Yakes.55296.C
Win-Trojan/Yakes.56320
Win-Trojan/Yakes.52736
Win-Trojan/Yakes.51200
Win-Trojan/Yakes.865792
Win-Trojan/Hmblocker.385024
이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 다양한 조직을 대상으로한 오퍼레이션 Shady RAT 침해 사고 (0) | 2011.10.27 |
|---|---|
| 트위터로 신용카드 결제를 유도하는 스팸 메시지 유포 (0) | 2011.10.27 |
| 아마존 클라우드 서비스 악용해 스파이아이 유포 (0) | 2011.10.27 |
| MS10-087 취약점 악용 워드 악성코드 생성기 (0) | 2011.10.27 |
| 러시아에서 제작된 랜섬웨어 생성기 (0) | 2011.10.27 |
댓글