본문 바로가기

벌새::Analysis

Spam 이메일 : Your Computer has probably been infected (2010.6.19)

마이크로소프트(Microsoft)사에서 Conficker Worm 치료를 위해 setup.zip 압축 파일을 동봉한 것으로 위장한 악성 스팸(Spam) 메일이 국내에서 확인되었으므로 주의하시기 바랍니다.

● 제목 : Your Computer has probably been infected

● 첨부 파일 : setup.zip (setup.exe)

Dear Microsoft Customer,

Starting 17/06/2010 the Conficker worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.

To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.

Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.

Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division

해당 이메일에서는 Microsoft Support에서 발송한 것으로 위장을 하고 있으며, 2010년 6월 17일부터 Conficker Worm이 유포되고 있으므로 첨부한 AntiSpyware 프로그램을 실행하도록 유도하고 있습니다.

해당 setup.zip 압축 파일에는 setup.exe (MD5 : c680f3e0da5ee87a1511bacd53fda48f) 파일이 있으며, 현재 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.FakeAV (VirusTotal : 4/41) 진단명으로 긴급 업데이트를 한 상태입니다.

[생성 파일 등록 정보]

C:\Documents and Settings\All Users\Favorites\_favdata.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자).exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자).exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자).exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TMP(Random 5자리 숫자).tmp

※ TMP(Random 5자리 숫자).exe (MD5 : 243fb1a9c7fb491e3b4568831499ac2e)파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Fakeav.414720 진단명으로 진단하고 있는 상태였습니다.

만약 첨부 파일을 실행한 경우 특정 서버에서 위와 같은 파일을 생성하여 가짜 백신(Fake AV)을 설치하고, 허위 정보를 바탕으로 유료 결제 및 사용자 컴퓨터의 정상적인 사용을 방해할 것으로 보입니다.

마이크로소프트에서는 절대로 고객에게 악성코드 치료와 관련된 정보를 이메일을 통해 발송하지 않으므로 이런 유사한 이메일을 수신한 사용자는 첨부 파일을 실행하지 않도록 주의하시기 바랍니다.