본문 바로가기

벌새::Analysis

Spam 이메일 : Error in the delivery address NR6958633 (2010.10.16)

해외에서 발송한 UPS(United Parcel Service) 관련 악성 이메일이 국내에 유입된 것을 확인하였습니다.

● 제목 : Error in the delivery address NR6958633

● 첨부 파일 : UPS_Document_NR4970.zip

Dear customer.

The parcel was sent to your home address. And it will arrive within 3 business days.
More information and the tracking number are attached in document below.

Thank you for your attention.
UPS Services.

대략적인 이메일 내용은 소포를 발송하였으며, 3일 이내에 도착할 예정이므로 추가적인 정보를 확인하기 위해서는 첨부 파일을 실행하라는 내용입니다.

이메일에 동봉된 UPS_Document_NR4970.zip 파일 내부에는 UPS_Document 폴더 속에 Microsoft Excel 문서로 위장한 UPS_Document.exe (MD5 : 0964957611527841a83906bd68e248c7) 파일이 포함되어 있는 것을 확인할 수 있습니다.

해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Packed/Win32.Generic (VirusTotal : 26/43) 진단명으로 사전 차단을 하고 있으며, BitDefender 엔진은 Trojan.Oficla.AO 진단명으로 진단되며, 하우리 바이로봇(Hauri ViRobot) 제품에서는 Trojan.Win32.Downloader.41472.EC 진단명으로 진단되고 있습니다.

[UPS_Document.exe 파일 생성 파일 진단 정보]

C:\WINDOWS\olerxtle.dll (MD5 : 17802d3eb8e3ba0c7d78c340a37493c5)
 - Microsoft : Trojan:Win32/Hiloti.gen!D (VirusTotal : 15/43)

C:\WINDOWS\svrwsc.exe (MD5 : B73FF61C600845632B1BE7DEA87AC43C)
 - Microsoft : PWS:Win32/Axespec.A

C:\WINDOWS\system32\qvuo.sbo (MD5 : 3c6c0bdd39a79d04d2f0afbb627ec248)
 - AhnLab V3 : Trojan/Win32.Sasfis (VirusTotal : 14/42)

해당 악성 파일은 시스템 폴더에 qvup.sbo 파일을 생성하여 다음과 같은 방식으로 시스템 시작시 자동 실행되도록 구성되어 있습니다.

[변경 전 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Shell = Explorer.exe

[변경 후 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Shell = "Explorer.exe"/"Explorer.exe rundll32.exe qvuo.sbo nvijs"

또한, svrwsc.exe 파일은 SvrWsc(Windows Security Center Service) 서비스 항목을 생성하는 동작을 합니다.

최종적으로 특정 러시아(ru) 도메인에 연결을 시도하여 69.exe, dogpod.exe, morph.exe 파일들을 추가적으로 다운로드하여 악성 프로그램을 설치할 수 있습니다.

이렇게 감염된 시스템은 가짜 백신(FakeAV) 설치, 정보 유출 등의 문제를 유발할 수 있으므로, 해외에서 발송되는 첨부 파일을 동봉한 이메일의 경우 함부로 실행하지 않도록 주의하시기 바랍니다.