최근 이메일을 통해 발렌타인 시기를 이용한 storm worm이 성행하고 있습니다.
하루에도 몇 통씩의 위협적인 이메일이 들어오고 있는 실정입니다.
이메일 내용 : 특정 아이피(IP) 주소를 적어서 해당 링크로 유도 방식
실제 해당 사이트에 접속을 하면 다음과 같은 현상이 일어납니다.
이런 형태의 이메일을 받는다면 되도록 이메일을 열지않고 그대로 스팸신고를 하시거나 삭제를 하시기 바랍니다.
[샘플 분석]
1. 샘플 파일을 실행하면 시스템에 다음과 같은 파일을 생성합니다.
C:\Windows\System32\diperto.ini (40,613 bytes - E335E3D1D533357DA68A79E11851147E)
C:\Windows\System32\diperto44c4-274c.sys (129,920 bytes - F75CED55DDF2005BF949A35534057887) : 커널 모드 드라이버
2. 프로세서 생성
valentine.exe (135,168 bytes)
- 시스템 프로세서의 address space에 새로운 메모리 페이지 생성
%System%\services.exe (135,168 bytes)
3. 레지스트리 Key 생성
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO44C4-274C
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO44C4-274C\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO44C4-274C\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diperto44c4-274c
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diperto44c4-274c\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diperto44c4-274c\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIPERTO44C4-274C
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIPERTO44C4-274C\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIPERTO44C4-274C\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diperto44c4-274c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diperto44c4-274c\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diperto44c4-274c\Enum
4. 기타 사항
- 이메일 수집 / 특정 서버에서 악성코드 다운로드 기능 등 추정