본문 바로가기

벌새::Analysis

Spam 이메일 : UPS Tracking Number V97Z9HK

반응형
이메일을 통하여 UPS(United Parcel Service)에서 보내는 내용으로 위장한 악성코드 첨부 스팸 이메일이 수신되었습니다.

대략적인 내용은 발송이 되지 않아서 첨부한 송장 복사본을 프린트하여 자신들에게 제출하라는 내용을 담고 있으며, zip 압축 파일을 동봉하고 있습니다.

첨부된 압축 파일 내부에는 엑셀(Excel) 문서 아이콘 모양의 실행 파일이 포함되어 있습니다.

[첨부 파일 진단 정보 : UPSNR_74d0d1d6.exe]

MD5 : 0a9bd1204a45d048cadeb5aa4f6d704c


AntiVir 7.9.0.240 2009.08.06 TR/Crypt.ZPACK.Gen
Authentium 5.1.2.4 2009.08.06 W32/Bredolab.B
F-Prot 4.4.4.56 2009.08.06 W32/Bredolab.B
McAfee+Artemis 5699 2009.08.05 Artemis!0A9BD1204A45
McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Trojan.Crypt.ZPACK.H
Microsoft 1.4903 2009.08.06 TrojanDownloader:Win32/Bredolab.X
Rising 21.41.33.00 2009.08.06 Unknown Win32 Virus
Sophos 4.44.0 2009.08.06 Mal/BredoPk-B

해당 파일을 실행할 경우 다음과 같은 동작을 하고 있는 것을 확인할 수 있습니다.
  1. 파일 생성 : C:\Documents and Settings\User\Local Settings\Temp\~TM1.tmp
  2. 파일 숨김 : C:\Documents and Settings\User\Local Settings\Temp\~TM3.tmp
  3. 특정 서버 연결 : mud******.ru (러시아)

해당 프로그램은 특정 서버와 연결을 하여 추가적인 명령에 따라 감염된 시스템에서 악의적인 행동을 할 것으로 보입니다.

현재 국내외 유명 보안제품에서 진단이 되지 않고 있으므로, 발송자가 불분명한 이메일을 수신한 경우 호기심에 첨부 파일을 실행하는 일이 없도록 해야겠습니다.

728x90
반응형