울지않는벌새 : Security, Movie & Society

Spam 이메일 : New discounts daily (2010.6.11)

벌새::Analysis
해외에서 제작된 악성 스팸(Spam) 이메일을 통해 Canadian Pharmacy 관련 비아그라 판매 사이트 홍보 및 악성 PDF 파일을 유포하는 것을 확인하였습니다.

● 제목 : New discounts daily

● 첨부 파일 : open.html

We have chosen the best for you

해당 이메일에 첨부된 html 문서를 사용자가 오픈할 경우 Canadian Pharmacy 사이트로 연결이 되는 것을 확인할 수 있습니다.

open.html

첨부 파일 소스를 확인해보면 스크립트 난독화를 통하여 스팸 필터링 우회 및 악성 도메인(ru)을 사용자 몰래 경유하도록 구성되어 있는 것을 확인할 수 있습니다.

현재 open.html 첨부 파일에 대하여 NOD32 보안 제품에서 JS/TrojanDownloader.Pegel.BR (VirusTotal : 3/41) 진단을 하고 있습니다.

해당 비아그라 사이트에 접속하는 과정에서 추가적인 도메인을 경유하는 것을 확인할 수 있는데, 해당 도메인에서는 악성 PDF 변종을 다수 유포하고 있는 것을 확인하였습니다.

현재 확인된 변종은 총 10개의 PDF 파일로 Notes10.pdf (MD5 : 14773160b7256438ffc174a11054501a) 파일의 경우 NOD32 보안 제품에서 JS/Exploit.Pdfka.OAY (VirusTotal : 2/41) 진단명으로 진단이 되고 있습니다.

악성 PDF 문서를 실행하였을 경우 Adobe Reader 제품을 비롯한 프로그램에서는 그림과 같이 해당 문서 내에 JavaScript가 포함되어 있다는 경고 메시지를 출력하므로 이런 경우에는 절대로 문서를 열지 않도록 주의하시기 바랍니다.

만약 PDF 문서를 실행할 경우 시스템 감염을 통한 스팸 메일 발송 등 악의적인 동작이 예상됩니다.