본문 바로가기

벌새::Analysis

Spam 이메일 : UPS Delivery Problem NR 93777

반응형
UPS(United Parcel Service)에서 발송한 이메일로 위장한 악성코드가 첨부된 스팸(Spam) 이메일을 확인하였습니다. 

● 이메일 제목 : UPS Delivery Problem NR 93777

Dear customer!

Unfortunately we were not able to deliver the package which was sent on the 23rd of January in time because the addressee's address is erroneous.
Please print out the invoice copy attached and collect the package at our department.

United Parcel Service of America.


해당 이메일에는 UPS_invoice _NR1144.zip 압축 파일이 첨부되어 있으며, 해당 파일 내부에는 UPS_invoice _NR1144.exe(MD5 : f71d48a86776f8c0da4d7a46257ff97c) 파일이 Microsoft Word 문서 아이콘 형태로 존재합니다.


해당 파일에 대해서 avast 보안 제품에서는 Win32:Zbot-MOY (VirusTotal : 5/41) 진단명으로 진단을 하고 있습니다.

실제 해당 파일을 실행하는 경우 다음과 같은 동작을 확인할 수 있습니다.

(1) 윈도우 시작시 생성된 incognito.exe 파일을 등록하여 자동 실행

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{ADEEAF15-7FE8-DEDD-3FFF-4DF56EBB1DFB}
 - StubPath = "%SystemRoot%\system32\incognito.exe"

(2) 레지스트리 항목에 aqlb.hjo 파일 등록

(수정 전)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Shell = Explorer.exe

(수정 후)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Shell = "Explorer.exe"/"Explorer.exe rundll32.exe aqlb.hjo lhoweid"

(3) 193.104.27.158:80(러시아) 서버에 접속하여 추가적인 파일 다운로드

이렇게 다운로드된 추가적인 파일(MD5 : ef5592eb4b6065e9d8bcf4e553a167dc)은 Dr.Web 보안 제품에서 Trojan.Fakealert.10386 (VirusTotal : 13/40) 진단명으로 진단을 하고 있으며, 해당 파일은 최종적으로 해외에서 제작된 가짜 백신 Internet Security 2010 프로그램을 설치하여 정상적인 컴퓨터 환경을 변경하여 유료 결제를 유도하는 것으로 확인이 되었습니다.

그러므로 첨부 파일이 포함된 출처를 알 수 없는 이메일은 삭제를 하시기 바라며, 신뢰할 수 있는 보안 제품을 통해 시스템을 보호하시기 바랍니다.

반응형