울지않는벌새 : Security, Movie & Society

Spam 이메일 : You Alone (2010.6.17)

벌새::Analysis
최근 극성을 부리는 해외 악성 스팸(Spam) 메일이 호기심을 자극하는 문구를 통해 photo.html 첨부 파일을 실행하도록 유도하는 방식으로 배포가 이루어지는 것을 확인하였습니다.

● 제목 : You Alone

● 첨부 파일 : photo.html

Hi darling, my photo in attached file ;)

Heaven Sent Me You

특히 이번 이메일에서는 해외 유명 보안 제품인 PC Tools 제품을 거론하면 바이러스 또는 스파이웨어가 발견되지 않았다는 문구를 포함하여 안심시키고 있는 것이 특징입니다.

photo.html

첨부된 photo.html 파일은 자바스크립트(JavaScript)로 난독화 되어 있으며, NOD32 보안 제품에서 JS/TrojanDownloader.Pegel.BR 진단명으로 진단되고 있습니다.

[photo.html 연결 정보]

h**p://piazza********.com/z.html
 - <iframe> h**p://dogopao.bigmuggs******.com:8080/index.php?pid=10
 - <refresh> h**p://toldspeak.com

첨부 파일을 실행하였을 경우 악성 iframe 연결과 Canadian Pharmacy 인터넷 약 판매 사이트로 연결이 이루어지고 있으며, 특정 취약점을 가진 시스템의 경우 사용자 몰래 악성 프로그램이 다운로드되어 시스템을 감염시킬 수 있습니다.

해외 보안 업체 Emsisoft에서 분석한 악성코드에 대한 상세한 정보를 살펴보면 감염시 좀비PC가 되어 다수의 SMTP 프로토콜을 통한 스팸 메일 발송에 이용되는 것을 확인할 수 있습니다.

워낙 다양한 변종이 출현하고 있으므로 사용자들은 htm / html 첨부 파일을 동봉한 이메일을 수신한 경우 절대로 실행하지 않도록 주의하시기 바랍니다.