본문 바로가기

벌새::Analysis

Spam 이메일 : You have received an Greeting eCard (2010.7.20)

반응형
해외 eCard 관련 이메일로 위장한 악성 링크를 포함한 스팸(Spam) 이메일이 국내에 유입된 것을 확인하였습니다.


● 제목 : You have received an Greeting eCard

Good day.
You have received an eCard

To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):

h**p://black*****.gr/ecard.exe

Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!

We hope you enjoy you eCard.

Thank You!

ecard.exe


해당 이메일에 포함된 링크를 사용자가 클릭할 경우 ecard.exe(MD5 : 1b90dfb0e5ceecf88f138ef8e35b7d3e) 파일을 다운로드되며, Trend Micro 보안 제품에서는 Cryp_Zbot-12 (VirusTotal : 5/42) 진단명으로 사전 차단을 하고 있습니다.


흥미로운 점은 해당 스팸 메일의 유포로 인해 악성 링크를 통해 접근하는 시도가 대역폭을 초과하여 현재 시간에는 [Bandwidth Limit Exceeded] 메시지만을 출력하며 ecard.exe 파일이 다운로드되지 않고 있습니다.

다운로드된 ecard.exe 파일을 실행할 경우 [C:\Documents and Settings\(사용자 계정)\Application Data\Atonu\gupyp.exe] 파일을 생성하며, 특정 러시아 도메인에 연결을 시도하여 최종적으로 해외 가짜 백신(Fake AV)을 설치하도록 유도되는 것으로 추정됩니다.

이번과 같이 첨부 파일 형식이 아닌 링크 방식의 경우에도 함부로 링크를 클릭하는 일이 없도록 주의하시기 바랍니다.
728x90
반응형
  • 따로 운영하고 있는 이메일 계정이 있는데.저는 일본쪽에서 날라오는 성인관련메일에 시달리고 있습니다.가끔보면 클릭의 유혹을 많이 받고 있다고 합니다.최근에 이런메일이 증가하고 있는 느낌이 많이 들기도 합니다.

  • 방금 MD5값 바토에 올려보니 현재 많이 진단하고 있군요.ㅎㅎ
    금방금방 업데이트 되나 봅니다.