본문 바로가기

벌새::Analysis

Spam 이메일 : FaceBook message: Sexy Mature Amateur Housewife (2010.6.16)

해외 Social Networking 사이트 Facebook에서 발송한 이메일로 위장한 악성 스팸(Spam) 메일이 발견되었습니다.
 

해당 이메일은 최근 소개한 New discounts daily 방식과 유사하므로 참고하시기 바랍니다.

● 제목 : FaceBook message: Sexy Mature Amateur Housewife

● 첨부 파일 : facebook.html

You have 2 Personal Message:
Video title: Mature White Wife *ucked *nal by Black Man MILF

Proceed to view full message : open attached file - facebook.html

Message ID: KJ-ncx9t2j5rk8e0dl
2009 Facebook community, Message Center.


해당 이메일은 자극적인 제목을 이용하여 Facebook으로 연결되는 것처럼 위장한 facebook.html 첨부 파일을 수신자가 열어보도록 유도를 하고 있습니다.

facebook.html

실제 facebook.html 파일에 대하여 NOD32 보안 제품에서는 JS/TrojanDownloader.Pegel.BR 진단명으로 진단되고 있습니다.

[facebook.html 접근 경로]

h**p://kend******.net/zx.htm
 - <iframe> h**p://blog.power*********.com:8080/index.php?pid=10
 - <refresh> h**p://mousewall.com/secure.php?cmd=home


해당 첨부 파일을 실행할 경우 zx.htm 페이지로 연결이 이루어지며, 해당 페이지에는 악성 iframe 소스와 자동으로 특정 인터넷 쇼핑몰 사이트로 연결되는 동작을 포함하고 있습니다.

현재 iframe을 통해서 다운로드되는 악성 파일은 확인되지 않았지만, 이전 정보를 참고해보면 악성 PDF 문서 파일을 유포하여 시스템 감염을 유도할 것으로 추정됩니다.

그러므로 해외에서 수신되는 수상한 이메일에 추가된 첨부 파일은 절대로 실행하지 않도록 주의하시기 바랍니다.

 Update : Spam 이메일 - FaceBook message: French Canadian MILF Sucks and Fucks (2010.6.16)

Facebook에서 발송한 메시지로 위장한 추가적인 스팸(Spam) 이메일이 확인이 되었습니다.

● 제목 : FaceBook message: French Canadian MILF Sucks and Fucks

● 첨부 파일 : facebook.html

Messages from Your Friends on Facebook, Wed, 16 Jun 2010 15:16:04 +0600

You have 6 Personal Message:
Video title: Brazilian Housewife *ucks Black Tourist *ucking

Proceed to view full message : open attached file - facebook.html

Message ID: FN-lqa8l7c9qi0y7zo
2009 Facebook community, Message Center.

현재 시간 기준으로 첨부 파일로 동봉된 facebook.html 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 JS/Redirect 진단명으로 진단을 하고 있으므로 참고하시기 바랍니다.