본문 바로가기

벌새::Analysis

Spam 이메일 : UPS Tracking Number V97Z9HK

반응형
이메일을 통하여 UPS(United Parcel Service)에서 보내는 내용으로 위장한 악성코드 첨부 스팸 이메일이 수신되었습니다.

대략적인 내용은 발송이 되지 않아서 첨부한 송장 복사본을 프린트하여 자신들에게 제출하라는 내용을 담고 있으며, zip 압축 파일을 동봉하고 있습니다.

첨부된 압축 파일 내부에는 엑셀(Excel) 문서 아이콘 모양의 실행 파일이 포함되어 있습니다.

[첨부 파일 진단 정보 : UPSNR_74d0d1d6.exe]

MD5 : 0a9bd1204a45d048cadeb5aa4f6d704c


AntiVir 7.9.0.240 2009.08.06 TR/Crypt.ZPACK.Gen
Authentium 5.1.2.4 2009.08.06 W32/Bredolab.B
F-Prot 4.4.4.56 2009.08.06 W32/Bredolab.B
McAfee+Artemis 5699 2009.08.05 Artemis!0A9BD1204A45
McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Trojan.Crypt.ZPACK.H
Microsoft 1.4903 2009.08.06 TrojanDownloader:Win32/Bredolab.X
Rising 21.41.33.00 2009.08.06 Unknown Win32 Virus
Sophos 4.44.0 2009.08.06 Mal/BredoPk-B

해당 파일을 실행할 경우 다음과 같은 동작을 하고 있는 것을 확인할 수 있습니다.
  1. 파일 생성 : C:\Documents and Settings\User\Local Settings\Temp\~TM1.tmp
  2. 파일 숨김 : C:\Documents and Settings\User\Local Settings\Temp\~TM3.tmp
  3. 특정 서버 연결 : mud******.ru (러시아)

해당 프로그램은 특정 서버와 연결을 하여 추가적인 명령에 따라 감염된 시스템에서 악의적인 행동을 할 것으로 보입니다.

현재 국내외 유명 보안제품에서 진단이 되지 않고 있으므로, 발송자가 불분명한 이메일을 수신한 경우 호기심에 첨부 파일을 실행하는 일이 없도록 해야겠습니다.

728x90
반응형
  • 라이징도 가만보면 은글슬쩍 진단을 잘합니다.

    그나저나 엑셀파일이나 음악파일이라고 속이는 파일의 포맷명을 exe가 아닌 원래의 포맷대로 살리면서 PE가 실행되는 방식은 힘든가 보네요 ㅎㅎ

    • 제가 봐서는 이 첨부 파일을 보는 사람이 모두 오피스를 설치하였다는 가정이 없으므로 차라리 exe 실행 파일이면 누구나 클릭하여 실행하도록 할 수 있기 때문이 아닌가 생각됩니다.

  • 이제는 UPS인가 봅니다..저도 복귀을 앞둔 어제 메일 점검중에 발견했다는...그동안 잘 지냈셧습니까?

    • 아이고.. 반갑습니다.^^

      다시 돌아오시는가봐요? 보안업체에서 UPS 관련 변종이 많다고 하더군요. 사카이님도 받으신가 봐요?

  • park 2012.09.29 11:17 댓글주소 수정/삭제 댓글쓰기

    요즘 첫 해외구매 한게 있는데
    저 메일이 떡 들어와있어서 잘못했으면 첨부파일 실행할뻔햇네요
    저는 zip로 첨부되어있던데 정보 감사합니다

    • 이런 방식은 정말 포기를 모르고 불특정 다수에게 전파되고 Park님처럼 실제 해외 구매와 연관된 사용자는 호기심에 열어보게 될 것으로 보입니다.ㅠㅠ