본문 바로가기

벌새::Analysis

Spam 이메일 : Your Funds Will Be Transfered (2010.7.16)

반응형
이메일 제목이 "Your Funds Will Be Transfered"으로 구성된 htm(html) 첨부 파일을 동봉한 악성 스팸(Spam) 이메일이 다수 국내 유입이 확인되었습니다.


● 제목 : Your Funds Will Be Transfered

● 첨부 파일 : Copies of the payment.html (629 Bytes)

(좌측 이메일 내용)

Hello

I am able to complete the funds transfer late night

$34.011 was sent with MTCN VALUE 412 513 9606

Copies of the payment is being attached

(우측 이메일 내용)

Hello

I am able to complete the funds transfer late night

$12.270 was sent with MTCN VALUE 566 974 2140

Copies of the payment is being attached

Copies of the payment.html (629 Bytes)


해당 이메일에 첨부된 629 Bytes 크기의 Copies of the payment.html (MD5 : 9ef1b0e6cd5ad218ffa3f78ba772f7b1) 파일은 자바 스크립트(JavaScript)로 인코딩 되어 있으며, Sophos 보안 제품에서 Troj/Decdec-A (VirusTotal : 8/42) 진단명으로 진단되고 있습니다.


● 제목 : Your Funds Will Be Transfered

● 첨부 파일 : Copies of the payment.html (358 Bytes)

Hello

I am able to complete the funds transfer late night

$69.793 was sent with MTCN VALUE 188 482 6025

Copies of the payment is being attached

Copies of the payment.html (358 Bytes)


해당 이메일에 첨부된 358 Bytes 크기의 Copies of the payment.html (MD5 : feb9c96c443d622f3739dd8760b9be87) 파일은 위에서 소개한 자바 스크립트(JavaScript)와는 다른 구성으로 인코딩 되어 있으며, Sophos 보안 제품에서는 Troj/Iframe-EZ (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.


[Copies of the payment.html 연결 정보]

h**p://dream********.com/index3.html
 - <refresh> h**p://knew****.com
 - <iframe> h**p://race******.ru:8080/index.php?pid=10


이들 스팸 메일은 모두 동일하게 특정 인터넷 페이지로 연결을 시도하며, 해당 페이지에서는 비아그라 관련 판매 사이트 연결과 함께 악성 iframe 연결을 시도하고 있는 것을 확인할 수 있습니다.

계속적으로 유사한 사이트 연결을 시도하는 과정에서 보안 제품의 진단을 우회할 목적으로 다양한 난독화 방식을 이용하고 있으므로, htm(html) 첨부 파일을 동봉한 이메일은 절대로 실행하지 않도록 하시기 바랍니다.
728x90
반응형