Spam 이메일 : please answer (2010.7.15)

저해상도로 인하여 웹메일이 열리지 않는 문제를 해결할 수 있다는 내용의 첨부 파일을 동봉한 해외 악성 스팸(Spam) 메일이 국내에 유입된 것을 확인하였습니다.

● 제목 : please answer

● 첨부 파일 : original_letter.zip

Message-ID: <001601cb8804218ee$6700a8c0@Accounts7596609>
X-Priority: 8344
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5201
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.0752.2180
-----
This letter cannot be opened in the webmail because of low screen resolution.
The original letter is in the attachment.
If this problem repeats, please contact to the server Administrator.
XMailServer v21
-----

해당 이메일에 첨부된 original_letter.zip 압축 파일 내부에는 MS Word 문서로 위장한 original_letter.exe(MD5 : 2f2bbd8489db146bb6822e8150527a19) 실행 파일이 존재하며, Sophos 보안 제품에서 Mal/FakeAV-BW (VirusTotal : 16/42) 진단명으로 진단하고 있는 것을 확인할 수 있습니다.

참고로 해당 진단명은 해외 가짜 백신(Fake AV) 설치 관련 진단명이며, Bredolab 변종으로 알려져 있습니다.

실제 해당 악성 파일을 실행할 경우 [C:\WINDOWS\system32\svrwsc.exe] 파일을 생성하며, 해당 파일(MD5 : 94983df7795a0f612171c82fae2e656c)은 Trend Micro 보안 제품에서 TROJ_FAKEAV.FBZ (VirusTotal : 12/42) 진단명으로 진단되고 있습니다.

svrwsc.exe 파일은 서비스 항목에 [Windows Security Center Service] 이름으로 등록되어 시스템 시작시 자동 실행되어 특정 서버에 접속하여 추가적인 악성 프로그램을 다운로드하도록 구성되어 있습니다.

그러므로 사용자는 단순히 파일의 아이콘 모양을 통해 파일을 문서로 오해하는 일이 없도록 확장자를 확인하는 습관과 함께 수상한 이메일에 첨부된 파일은 절대로 실행하지 않도록 주의하시기 바랍니다.