울지않는벌새 : Security, Movie & Society

Spam 이메일 : Full enjoyment for few bucks (2010.7.15)

벌새::Analysis
건강 적신호를 내용으로한 악성 htm(html) 첨부 파일을 동봉한 해외 스팸(Spam) 이메일이 국내에 유입된 것을 확인하였습니다.


● 제목 : Full enjoyment for few bucks

● 첨부 파일 : Forwarded message.html

Health Risk Alert

Forwarded message is attached.

Forwarded message.html


해당 첨부 파일에는 자바 스크립트(JavaScript)를 이용한 특정 인터넷 페이지로 이동을 하도록 구성되어 있으며, 해당 첨부 파일에 대하여 Sophos 보안 제품에서 Troj/JSRedir-CA (VirusTotal : 2/42) 진단명으로 진단되고 있습니다.


[Forwarded message.html 연결 정보]

h**p://www.i-***.com/index3.html
 - <refresh> h**p://knew****.com
 - <iframe> h**p://hill*****.com:8080/index.php?pid=10


연결되는 정보를 살펴보면 Payment request from 스팸 메일에서 확인된 동일한 가짜 Canadian Pharmacy 사이트로 연결이 이루어짐과 동시에 악성 iframe을 추가하여 특정 취약점을 가진 시스템 또는 시간대에 악성코드를 통한 해외 가짜 백신(Fake AV) 등을 설치하도록 하는 동작이 있는 것으로 보고되고 있습니다.

그러므로 htm(html) 첨부 파일을 동봉한 해외 스팸 메일은 절대로 열지 않도록 주의하시기 바랍니다.