반응형
최근 이메일을 통해 국내외 사용자에게 다량의 UPS 관련 파일로 위장한 악성코드 첨부 파일이 수신되고 있는 것으로 보입니다.
어제 살펴본 형태와 접수 이메일의 내용에서는 그림과 같이 특정 날짜만 변경된 형태로 발송이 되고 있습니다.
[첨부 파일 진단 정보 : UPSNR_586702bc.exe]
AntiVir 7.9.0.240 2009.08.06 TR/Crypt.ZPACK.Gen
McAfee-GW-Edition 6.8.5 2009.08.06 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4903 2009.08.07 TrojanDownloader:Win32/Bredolab.X
Rising 21.41.40.00 2009.08.07 Unknown Win32 Virus
Sophos 4.44.0 2009.08.07 Mal/BredoPk-B
Symantec 1.4.4.12 2009.08.07 Packed.Generic.243
MD5 : 5def15ae107006e6989c959e18a088db
AntiVir 7.9.0.240 2009.08.06 TR/Crypt.ZPACK.Gen
McAfee-GW-Edition 6.8.5 2009.08.06 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4903 2009.08.07 TrojanDownloader:Win32/Bredolab.X
Rising 21.41.40.00 2009.08.07 Unknown Win32 Virus
Sophos 4.44.0 2009.08.07 Mal/BredoPk-B
Symantec 1.4.4.12 2009.08.07 Packed.Generic.243
첨부된 zip 압축 파일 내부에는 엑셀(Excel) 아이콘의 실행 파일이 존재하고 있으며 해당 파일을 실행할 경우 다음과 같은 동작이 이어집니다.
- 파일 생성 : C:\Documents and Settings\User\Local Settings\Temp\~TM1.tmp
- 파일 숨김 : C:\Documents and Settings\User\Local Settings\Temp\~TM5.tmp
- 스레드(Thread) 생성을 통한 모듈(Module) 등록 : C:\WINDOWS\system32\svchost.exe
- 네트워크 연결 : mud******.ru (러시아)
위와 같은 대량의 스팸 메일은 불특정 다수의 컴퓨터 시스템이 감염되어 스팸 이메일을 발송하는 좀비PC를 이용한 방식으로 보이므로, 기본적으로 개인 사용자가 자신의 컴퓨터 보안에 신경을 써야 할 것입니다.
728x90
반응형