반응형
이번 이메일 역시 Breaking news 라는 제목을 통해 특정 TV 영상을 볼 수 있다는 링크를 제시하고 있습니다.
hxxp://www.molxxxxxxva.com/1.html
- hxxp://www.molxxxxxxva.com/install.exe (MD5 : 84dc5bd45775504f395569fe51b5f6f6)
- hxxp://79.135.167.18/antivir
-> hxxp://79.135.167.18/antivir/check/scaner.exe (MD5 : 84dc5bd45775504f395569fe51b5f6f6)
* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.
- hxxp://www.molxxxxxxva.com/install.exe (MD5 : 84dc5bd45775504f395569fe51b5f6f6)
- hxxp://79.135.167.18/antivir
-> hxxp://79.135.167.18/antivir/check/scaner.exe (MD5 : 84dc5bd45775504f395569fe51b5f6f6)
* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.
이메일에서 제시한 링크를 클릭하면 특정 동영상을 볼 수 있도록 구성된 웹사이트로 이동됩니다.
[install.exe / scaner.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.18 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.17 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.17 -
Fortinet 3.14.0.0 2008.08.17 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.17 Trojan-Downloader.Win32.Exchanger.oo
Ikarus T3.1.1.34.0 2008.08.18 Trojan-Downloader.Exchanger.Gen.2
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 Trojan-Downloader.Win32.Exchanger.oo
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3362 2008.08.17 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 Tibs.gen220
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 Malware Dropper
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.17 Trojan.Pandex
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.17 suspected of MalwareScope.Worm.Nuwar-Glowa.1 (paranoid heuristics)
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 Trojan.DL.Exchanger.CV
Webwasher-Gateway 6.6.2 2008.08.18 Worm.Win32.Malware.gen (suspicious)
Additional information
File size: 74752 bytes
MD5...: 84dc5bd45775504f395569fe51b5f6f6
SHA1..: 2cc17a61d0396a4458dae341bf9a2be0d8e83a22
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.18 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.17 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.17 -
Fortinet 3.14.0.0 2008.08.17 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.17 Trojan-Downloader.Win32.Exchanger.oo
Ikarus T3.1.1.34.0 2008.08.18 Trojan-Downloader.Exchanger.Gen.2
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 Trojan-Downloader.Win32.Exchanger.oo
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3362 2008.08.17 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 Tibs.gen220
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 Malware Dropper
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.17 Trojan.Pandex
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.17 suspected of MalwareScope.Worm.Nuwar-Glowa.1 (paranoid heuristics)
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 Trojan.DL.Exchanger.CV
Webwasher-Gateway 6.6.2 2008.08.18 Worm.Win32.Malware.gen (suspicious)
Additional information
File size: 74752 bytes
MD5...: 84dc5bd45775504f395569fe51b5f6f6
SHA1..: 2cc17a61d0396a4458dae341bf9a2be0d8e83a22
해당 웹사이트의 소스를 확인해 보면 hxxp://79.135.167.18/antivir 링크를 통해 다음과 같은 동작을 합니다.
ActiveX 방식으로 허위 보안제품을 설치하며, 마치 사용자의 컴퓨터를 스캔하여 다수의 악성코드가 존재하는 것처럼 위장하고 있습니다.
허위 감염 정보를 통해 컴퓨터 치료를 위한 설치 파일을 다운로드하도록 하며 금전적 결제를 유도하는 방식입니다.
최근 2008버전, 2009버전 등 유사한 해외 허위 보안제품이 다량으로 출현하고 있으므로 주의를 하셔야 할 것 같습니다.
728x90
반응형