이메일 방식은 그림과 같이 사용자가 메일을 읽기 위해 열었을 경우 어떠한 정보도 포함되어 있지 않지만, 스크립트에 의하여 사용자가 마우스를 공백에 올려놓았을 경우 특정 도메인이 자동으로 열리도록 제작되어 있습니다.
열린 도메인은 국내 단축 URL로 구성되어 있으며 사용자를 자극하는 샘플 동영상 감상을 원할 경우 해당 광고 배너 또는 문구를 클릭하도록 유도하고 있습니다.
최종적으로 제시되는 사이트에서는 각종 화상 채팅 사이트 바로가기 링크에 추천인 아이디가 포함되어 있으며, 하단의 [샘플 동영상 보기] 버튼을 통해 LiveCamPlayer.exe 파일을 다운로드하도록 구성되어 있습니다.
다운로드되는 LiveCamPlayer.exe(MD5 : 1e0b70ddd49055deaba75016c2ff6c20) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Packed/Win32.Morphine (VirusTotal : 14/42) 진단명으로 진단되고 있으며, 해외 일부 보안 제품에서 Themida 패커로 인한 진단이 이루어지고 있습니다.
사용자가 LiveCamPlayer.exe 파일을 실행할 경우 그림과 같은 화면만을 제공하는 과정에서 사용자 몰래 [C:\Program Files\Common Files\ODBC\Data Sources\1.exe] 파일을 다운로드하여 시스템을 감염시키는 동작을 확인할 수 있습니다.
1.exe 파일은 이전에 소개한 이스트소프트(ESTSoft) 알집(ALZip) SFX 압축을 이용한 방식과 동일하게 제작된 파일로 당시 소개한 악성코드의 변종으로 확인이 되고 있습니다.
C:\Program Files\Common Files\ODBC\Data Sources\1.exe (MD5 : c1df96e336777f83a703c6adaf38888e)
- AhnLab V3 : Win-Trojan/Agent.1081897 (VirusTotal : 1/41)
C:\Program Files\Common Files\ODBC\sqlservt.exe (MD5 : ede587edb118e7997ece778fea04e158)
- AhnLab V3 : Win-Trojan/Xema.1185792 (VirusTotal : 9/41)
C:\Program Files\Common Files\ODBC\SqlStarter.exe (MD5 : 4a48a219e104a6f6f87e3e9dca6c81c0)
- AhnLab V3 : Win-Trojan/Agent.92672.FY (VirusTotal : 2/41)
C:\Program Files\Common Files\ODBC\sqlupdate.exe (MD5 : 90354caddd91370daa4132d7b4adf9f0)
- AhnLab V3 : Win-Trojan/Agent.823296.CR (VirusTotal : 8/41)
이전에 해당 악성코드를 분석하면서 최초 유포 방식을 확인하지 못하였는데, 이번과 같이 Spam 이메일을 통한 성인 화상 동영상 감상과 같은 자극적인 내용으로 사용자가 파일을 실행하도록 유도하고 있다는 부분을 확인할 수 있었습니다.
해당 악성코드는 2008년 전후부터 꾸준하게 국내에서 유포가 이루어지고 있는 것으로 추정되므로 사용자들은 자극적인 동영상 감상을 위해 exe 파일을 다운로드하여 실행하도록 유도하는 경우 절대로 실행하지 않도록 주의하시기 바랍니다.