울지않는벌새 : Security, Movie & Society

Spam 이메일 : Reset your Twitter password (2010.6.17)

벌새::Analysis
해외 SNS 서비스 트위터(Twitter) 비밀번호 초기화와 관련된 악성 스팸(Spam) 메일이 유포되고 있으므로 주의하시기 바랍니다.

해당 이메일 방식은 Facebook 암호 초기화 요청 메일 등 다양한 방식으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.

● 제목 : Reset your Twitter password

● 첨부 파일 : open.htm

Hi, ㅇㅇㅇ

Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.

open.htm

해당 이메일에 첨부된 open.htm 파일에 대하여 NOD32 보안 제품에서는 JS/TrojanDownloader.Pegel.BR 진단명으로 진단되고 있습니다.

[open.htm 연결 정보]

h**p://fix***.bravehost.com/zx.htm
 - <iframe> h**p://treddent.photos*******.com:8080/index.php?pid=10
 - <refresh> h**p://mousewall.com

이번의 경우에는 첨부 파일을 실행할 경우 해외 특정 호스팅 서비스를 이용하여 접근을 시도하여 우회하는 방식으로 구성되어 있으며, 숨겨진 iframe 1개와 특정 인터넷 쇼핑몰 사이트 자동 연결 방식을 가지고 있습니다.

현재 iframe 도메인은 정상적으로 연결되지 않고 있으며, 기본적으로 사용자의 Windows 보안 패치 및 각종 응용 프로그램 보안 패치를 제대로 하지 않은 경우 감염으로 연결될 수 있으므로 주의하시기 바랍니다.