반응형
해외 가짜 백신(Fake AV)을 설치하도록 유도하기 위해 OFAC(Office of Foreign Assets Control)로 부터 발송한 것으로 위장한 해외 악성 스팸(Spam) 이메일이 국내에 유입된 것을 확인하였습니다.
해당 이메일에 동봉된 report.zip 압축 파일 내부에는 report.exe(MD5 : f3e8994fac4a83c7a0dbc7f846ae7834) 파일이 포함되어 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.FakeAV (VirusTotal : 21/42) 진단명으로 진단하고 있습니다.
만약 사용자가 가상 환경에서 해당 파일을 실행한 경우 분석을 방해할 목적으로 정상적으로 동작하지 않도록 제작되었으며, 생성된 TMP(Random 5자리 숫자).exe(MD5 : 7805a1d6d06111c6cc576d666f2f84f2) 파일에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Fraudpack.429056.J (VirusTotal : 21/42) 진단명으로 진단을 하고 있습니다.
국내외에서는 허위 정보를 이용한 금전 결제를 유도할 목적으로 다양한 가짜 백신을 제작하여 사용자 시스템에 설치하도록 유도하는 행위가 빈번하게 발생하고 있으므로 설령 감염되어도 절대로 결제를 하지 않도록 주의하시기 바랍니다.
● 제목 : declined deposit report
● 첨부 파일 : report.zip
Please view the attached report of the declined deposit by OFAC
● 첨부 파일 : report.zip
Please view the attached report of the declined deposit by OFAC
해당 이메일에 동봉된 report.zip 압축 파일 내부에는 report.exe(MD5 : f3e8994fac4a83c7a0dbc7f846ae7834) 파일이 포함되어 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.FakeAV (VirusTotal : 21/42) 진단명으로 진단하고 있습니다.
[생성 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자)17974.tmp : 자가복제
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자).exe
C:\Documents and Settings\All Users\Favorites\_favdata.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자)17974.tmp : 자가복제
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자).exe
C:\Documents and Settings\All Users\Favorites\_favdata.dat
만약 사용자가 가상 환경에서 해당 파일을 실행한 경우 분석을 방해할 목적으로 정상적으로 동작하지 않도록 제작되었으며, 생성된 TMP(Random 5자리 숫자).exe(MD5 : 7805a1d6d06111c6cc576d666f2f84f2) 파일에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Fraudpack.429056.J (VirusTotal : 21/42) 진단명으로 진단을 하고 있습니다.
국내외에서는 허위 정보를 이용한 금전 결제를 유도할 목적으로 다양한 가짜 백신을 제작하여 사용자 시스템에 설치하도록 유도하는 행위가 빈번하게 발생하고 있으므로 설령 감염되어도 절대로 결제를 하지 않도록 주의하시기 바랍니다.
728x90
반응형