울지않는벌새 : Security, Movie & Society

Spam 이메일 : My Husband, My Lover (2010.6.23)

벌새::Analysis
최근 유행처럼 퍼지고 있는 htm / html 첨부 파일을 통한 악성 스팸(Spam) 메일이 악성 스크립트를 기존과 달리 변형된 방식으로 구성하여 유포하고 있는 것을 확인하였습니다.

● 제목 : My Husband, My Lover

● 첨부 파일 : foryou.html

All That You Are

see attach ;)

foryou.html

이전까지 발견되던 스크립트와는 다르게 NOD32 보안 제품에서 진단되지 않고 있으며, Sophos 보안 제품에서 Troj/JSRedir-BO (VirusTotal : 2/41) 진단명으로 진단되고 있습니다.

[foryou.html 연결 정보]

h**p://myhometour*******.com/xxx.html
 - <iframe> h**p://assofy.angiestar*******.com:8080/index.php?pid=10
 - <refresh> h**p://occur*****.com

해당 첨부 파일을 실행할 경우 iframe으로 구성된 악의적인 사이트 접속과 함께, 가짜 Canadian Pharmacy 사이트로 연결되는 동작이 이루어지고 있습니다.

해외 보안 업체에서는 특정 취약점을 가진 시스템의 경우 시스템 감염을 통해 스팸 메일 발송 등의 동작이 있다고 분석하였으므로 해외에서 수신되는 htm(l) 관련 첨부 파일은 절대로 실행하지 않도록 주의하시기 바랍니다.