본문 바로가기

벌새::Analysis

Spam 이메일 : DHL Express Services (2011.4.5)

반응형
최근 해외에서 제작되어 국내 인터넷 사용자에게까지 영향을 미치는 DHL 관련 악성 스팸(Spam) 이메일에 대해 살펴보도록 하겠습니다.

 

● 이메일 제목 : DHL Express Services

● 첨부 파일 : dhl.zip

Dear customer

The parcel was sent your home adress
And it will arrive within 10 business days

More information and the tracking number
are attached in document below.

Thank You

□ 1994-2011 DHL Express Services, Inc.

해당 이메일은 DHL Express Services에서 발송한 것으로 위장하여 수신자가 dhl.zip 첨부 파일을 다운로드하여 실행하도록 유도하고 있습니다.

 

해당 첨부 파일의 압축 파일 내부에 존재하는 Fedex doc.exe 파일은 Adobe PDF 문서 아이콘으로 위장하여 윈도우 폴더 옵션 기본값 사용자의 경우 문서 파일로 오해를 하고 실행하도록 제작되어 있습니다.

참고로 Fedex doc.exe(MD5 : 1106c1319e21c4356f3579565188be84) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.FraudLoad (VirusTotal : 8/40) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 파일을 실행할 경우 특정 러시아 도메인 서버에서 pusk2.exe(MD5 : e66b9de3adccb50fa90e92def2a0cfba) 파일을 다운로드하여 최종적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wrd.exe] 파일을 생성하여 svchost.exe 프로세스에 자신을 추가하여 시스템 시작시 자동 실행되도록 구성되어 있으며, Fedex doc.exe 자신은 자동으로 삭제 처리가 됩니다.(※ 생성 파일명은 (Random 3자리 영문).exe 파일 구조입니다.)

wrd.exe 파일은 숨김(H), 시스템(S) 파일 속성으로 자신을 숨기고 있으며, 현재 안철수연구소(AhnLab) V3 보안 제품에서 ASD.Prevention (VirusTotal : 8/41) 진단명으로 진단되고 있습니다.

 

감염된 시스템에서는 그림과 같은 시스템 트레이 상에 [사용자의 컴퓨터가 위험에 노출되어 있습니다.], [Tracking software found!] 풍선 메시지를 노출하는 동작이 이루어집니다.

 

또한 Windows 보안 센터를 실행하여 보안 설정 관리 대상에 XP Internet Security 2011 이라는 해외 가짜 백신이 등록되어 있는 것을 발견할 수 있습니다.(※ 가짜 백신 이름은 사용자 OS 종류에 따라 다를 수 있습니다.)

 

가짜 백신 XP Internet Security 2011은 자동 실행되어 사용자 PC에서 정상적인 파일들을 악성 파일로 진단하는 검사 화면을 노출시킵니다.

 

진단된 항목에 대하여 경고창을 생성하여 등록(Register) 버튼을 클릭하도록 유도하고 있습니다.

 

사용자가 등록 버튼을 클릭할 경우 미국(USA)에 위치한 특정 서버로 연결하여 그림과 같은 구매창을 통해 라이센스를 구매하도록 유도를 합니다.

 

문제는 해외 가짜 백신에 감염될 경우 그림과 같이 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 악성 파일에 감염된 것처럼 위장하여 실행을 방해하는 동작이 있습니다.

 

실제 Internet Explorer가 실행되어도 그림과 같이 정상적인 인터넷이 불가능하도록 방해를 하는 것을 확인할 수 있습니다.

 

만약 사용자가 수동으로 해당 악성 파일만을 제거한 경우 또는 감염된 상태로 시스템 재시작 후에는 Internet Explorer를 실행할 경우 연결 프로그램을 찾는다는 메시지가 나와 정상적으로 웹 브라우저를 실행할 수 없습니다.

그러므로 해외 가짜 백신에 감염된 경우에는 생성(변경)된 레지스트리 수정을 병행하여 문제를 해결해야 하므로, 안전을 위해서는 보안 제품을 통한 치료를 하시길 권장합니다.

또한 이런 류의 DHL, UPS 관련 악성 스팸 메일을 통해 유포되는 첨부 파일을 절대로 실행하지 않도록 주의하시기 바랍니다.

 Update : Internet Explorer 웹 브라우저 실행 문제 해결 방법

해당 가짜 백신에 감염된 경우 기본적으로 인터넷 사이트 접속을 방해하는 동작으로 고생하시는 분들은 다음의 방법을 참고하시기 바랍니다.

1. 작업 관리자 또는 Process Explorer를 이용하여 메모리에 상주하는 가짜 백신 프로세스 (Random 3자리 영문).exe 파일을 강제 종료 및 파일명 변경 또는 삭제

2. C:\WINDOWS\regedit.exe 파일을 regedit.com 확장자로 변경 및 실행하여 레지스트리 편집기 열기

3. 다음의 레지스트리 항목을 찾아서 삭제
 
  • HKEY_CURRENT_USER\Software\Classes\.exe
  • HKEY_CURRENT_USER\Software\Classes\exefile

4. Internet Explorer 실행을 하시면 정상적으로 인터넷 사이트 접속이 가능합니다.

참고로 해당 방법은 임시적인 방법이므로 반드시 보안 제품을 통한 정밀 검사를 통해 문제를 해결하시기 바랍니다.

728x90
반응형
  • asd 2011.05.30 04:54 댓글주소 수정/삭제 댓글쓰기

    진짜 링크하나 클릭 잘못해서 새벽에 개고생했습니다

    딱봐도 바이러스가 백신프로그램으로 위장해 들어온거 같아서

    찾아내서 지우는데는 성공했는데

    익스플로러가 안돼는 사태가 발생하더군요.(꼬였는지..)

    여튼 이제 되네요 후휴 ㅆㅂ.......

  • AVAST가 실시간 감시중이라 안심하고 눌렀다가 피볼뻔 했네요.

    다행히 IE말고 구글크롬이 깔려있어서 빨리 검색후 대응할 수 있었네요.

    저는 소개하신 3번 방법으로 하지 않고

    http://cafe.naver.com/kav.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=10102&

    에 있는 전용백신으로 했는데 완전히 잘 지워진건지 궁금하네요..일단 인터넷은 켜지긴하는데..

    혹시 시스템 복원을 하면 문제가 완벽히 해결될까요?

    • 해외 가짜 백신은 변종이 상당히 많아서 전용백신이 최신이 아닐 경우 치료가 안될 수 있을 것으로 보입니다.

      시스템 복원의 경우에는 감염 이전 시점이라면 해결될 수는 있으리라 생각됩니다.

  • 캬악 2011.12.29 11:58 댓글주소 수정/삭제 댓글쓰기

    하숙집 아주머니가 컴퓨터를 잘 못 다루셔서
    거나하게 이거 걸려서 제게 들고오셨을 땐..
    트로이잔..!??!!? 했는데..

    프로그램도 안 돌아가고, 인터넷도 안되고,
    그나마 있던 백신 하나 돌려보니 아무런 문제도 없다하고..

    이렇게 도움 주셔서 너무 감사합니다.
    짤막하게나마라도 감사말씀 안드리면 안될 것 같아..흑.
    감사합니다.

  • ㅇㅈㅁ 2012.01.06 13:06 댓글주소 수정/삭제 댓글쓰기

    레지스트리 class 항목에서 exe가 없어요ㅜ
    어떻하면 좋죠?
    HKEY_CLASSES_ROOT 항목에는 exefile. 이 있네요.
    그거 삭제하면 되깔요?