최근 이메일을 통해 발렌타인 시기를 이용한 storm worm이 성행하고 있습니다.

하루에도 몇 통씩의 위협적인 이메일이 들어오고 있는 실정입니다.

이메일의 형태는 다양할 수 있지만, 스크린샷에서 보시는 것과 유사한 형태입니다.

이메일 제목 : Love You 등
이메일 내용 : 특정 아이피(IP) 주소를 적어서 해당 링크로 유도 방식


실제 해당 사이트에 접속을 하면 다음과 같은 현상이 일어납니다.

해당 사이트는 한 장의 gif 그림 파일이 있으며 그림을 클릭하거나 단순히 해당 사이트에 접속할 경우 valentine.exe(MD5 : 7DA88D46171BB9A6874E42C319F7DBAC) 파일을 자동으로 다운로드 하게 합니다.

이런 형태의 이메일을 받는다면 되도록 이메일을 열지않고 그대로 스팸신고를 하시거나 삭제를 하시기 바랍니다.

[샘플 분석] 

1. 샘플 파일을 실행하면 시스템에 다음과 같은 파일을 생성합니다.

C:\Windows\System32\diperto.ini (40,613 bytes - E335E3D1D533357DA68A79E11851147E)
C:\Windows\System32\diperto44c4-274c.sys (129,920 bytes - F75CED55DDF2005BF949A35534057887)  : 커널 모드 드라이버

2. 프로세서 생성

valentine.exe (135,168 bytes)

 - 시스템 프로세서의 address space에 새로운 메모리 페이지 생성
  %System%\services.exe (135,168 bytes)

3. 레지스트리 Key 생성

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO44C4-274C
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO44C4-274C\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO44C4-274C\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diperto44c4-274c
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diperto44c4-274c\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diperto44c4-274c\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIPERTO44C4-274C
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIPERTO44C4-274C\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIPERTO44C4-274C\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diperto44c4-274c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diperto44c4-274c\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diperto44c4-274c\Enum

4. 기타 사항

 - 이메일 수집 / 특정 서버에서 악성코드 다운로드 기능 등 추정


블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..