울지않는벌새 : Security, Movie & Society

스팸(Spam) 이메일 - BREAKING news

벌새::Analysis
사용자 삽입 이미지
최근 해외 방송국이나 유명인의 동영상을 보도록 유도하는 유형의 스팸성 악성코드가 내재된 이메일이 눈에 많이 띕니다.

이번 이메일 역시 Breaking news 라는 제목을 통해 특정 TV 영상을 볼 수 있다는 링크를 제시하고 있습니다.

hxxp://www.molxxxxxxva.com/1.html
 - hxxp://www.molxxxxxxva.com/install.exe (MD5 : 84dc5bd45775504f395569fe51b5f6f6)
 - hxxp://79.135.167.18/antivir
  -> hxxp://79.135.167.18/antivir/check/scaner.exe (MD5 : 84dc5bd45775504f395569fe51b5f6f6)

* 해당 링크는 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.


이메일에서 제시한 링크를 클릭하면 특정 동영상을 볼 수 있도록 구성된 웹사이트로 이동됩니다.

사용자 삽입 이미지
실제로 해당 비디오 관련 ActiveX는 해외에서 제작된 허위 보안제품 Antivirus XP 2008을 설치하는 파일입니다.

[install.exe / scaner.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.18 Trojan.Downloader.Exchanger.Gen.2

CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.17 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.17 -
Fortinet 3.14.0.0 2008.08.17 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.17 Trojan-Downloader.Win32.Exchanger.oo
Ikarus T3.1.1.34.0 2008.08.18 Trojan-Downloader.Exchanger.Gen.2

K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 Trojan-Downloader.Win32.Exchanger.oo
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3362 2008.08.17 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 Tibs.gen220

Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 Malware Dropper
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.17 Trojan.Pandex
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.17 suspected of MalwareScope.Worm.Nuwar-Glowa.1 (paranoid heuristics)
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 Trojan.DL.Exchanger.CV
Webwasher-Gateway 6.6.2 2008.08.18 Worm.Win32.Malware.gen (suspicious)
Additional information
File size: 74752 bytes
MD5...: 84dc5bd45775504f395569fe51b5f6f6
SHA1..: 2cc17a61d0396a4458dae341bf9a2be0d8e83a22
 
해당 웹사이트의 소스를 확인해 보면 hxxp://79.135.167.18/antivir 링크를 통해 다음과 같은 동작을 합니다.

사용자 삽입 이미지

ActiveX 방식으로 허위 보안제품을 설치하며, 마치 사용자의 컴퓨터를 스캔하여 다수의 악성코드가 존재하는 것처럼 위장하고 있습니다.

사용자 삽입 이미지

허위 감염 정보를 통해 컴퓨터 치료를 위한 설치 파일을 다운로드하도록 하며 금전적 결제를 유도하는 방식입니다.

최근 2008버전, 2009버전 등 유사한 해외 허위 보안제품이 다량으로 출현하고 있으므로 주의를 하셔야 할 것 같습니다.