울지않는벌새 : Security, Movie & Society

Spam 메일 : Incoming Wire Transfer (2013.6.28)

벌새::Analysis

JPMorgan Chase Bank에서 발송한 것처럼 위장한 이메일을 통해 "Incoming Wire Transfer Report" 관련 첨부 파일을 실행하도록 유도하는 악성 스팸(Spam) 메일이 국내 사용자를 대상으로 유포되는 것이 확인되었습니다.

해당 이메일에서는 BUSINESS CHECKING/SAVING ACCOUNT 계좌와 관련된 거래 정보와 함께 압축 파일(incoming_wire_report.zip)로 첨부된 파일을 다운로드하도록 유도하고 있습니다.

압축 첨부 파일 내부에는 PDF 문서 아이콘 모양을 하는 실행 파일(incoming_wire_report.exe)이 포함되어 있으며, 사용자가 문서 파일로 착각하여 실행시 시스템 감염이 이루어집니다.

 

참고로 해당 실행 파일(MD5 : 151703db5762ea15472bed7f27989d70)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Ransom.R71980 (VT : 8/47) 진단명으로 진단되고 있습니다.

파일이 실행되면 미국(USA)에 위치한 "amms(Random).com (184.168.252.1)" 서버에 지속적인 연결을 일정 시간 지속한 후 다음과 같은 추가적인 다운로드를 시도합니다.

  • h**p://whole*****fanreviews.com/6GhQRPm.exe (MD5 : 329f1b70a7e6e9b730f4ae8e2c388c70) - AhnLab V3 : Trojan/Win32.Ransom (VT : 9/47)
  • h**p://www.ban***trade.co.uk/ULiC.exe (MD5 : 329f1b70a7e6e9b730f4ae8e2c388c70) - AhnLab V3 : Trojan/Win32.Ransom (VT : 9/47)
  • h**p://favi***.net/i7K9wKA.exe (MD5 : 329f1b70a7e6e9b730f4ae8e2c388c70) - AhnLab V3 : Trojan/Win32.Ransom (VT : 9/47)
  • h**p://www.mat****house.it/UPTN4k.exe (MD5 : 329f1b70a7e6e9b730f4ae8e2c388c70) - AhnLab V3 : Trojan/Win32.Ransom (VT : 9/47)

각기 다른 4곳의 서버에 등록된 동일한 파일(MD5 : 329f1b70a7e6e9b730f4ae8e2c388c70)을 다운로드하여 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\(6자리 숫자).exe" 파일로 생성하여 실행 및 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Eptew
C:\Documents and Settings\(사용자 계정)\Application Data\Eptew\zuix.exe
 - MD5 : 44b9f164d96805d14845556765ce911f
 - AhnLab V3 : Trojan/Win32.Ransom (VT : 8/47)

 

※ 해당 폴더 / 파일명은 랜덤(Random)하게 생성됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Zuix = "C:\Documents and Settings\(사용자 계정)\Application Data\Eptew\zuix.exe"

생성된 파일은 시작 프로그램에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
 - 1057:TCP = 1057:TCP:*:Enabled:TCP 1057
 - 4465:UDP = 4465:UDP:*:Enabled:UDP 4465

또한 감염시 Windows 방화벽의 예외 항목에 TCP 1057, UDP 4465 포트를 허용하여 explorer.exe 프로세스를 통해 외부와 연결할 수 있도록 합니다.

악성 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Address Book\Administrator.wab" 주소록 파일을 참조하여 등록된 사용자 연락처로 추가적인 스팸 메일 전송이 이루어질 수 있습니다.

 

이렇게 감염된 시스템은 구글(Google) 서버에 쿼리 전송을 통한 네트워크 연결 체크 및 차후 추가적인 악성 파일 다운로드(가짜 백신(FakeAV), 랜섬웨어(Ransomware) 설치 등 추정), 스팸 메일 전송, FTP 계정 등 정보 유출 등의 악의적인 기능을 수행할 수 있습니다.

 

그러므로 해외에서 발송되는 수상한 이메일의 첨부 파일 또는 제시되는 링크를 함부로 클릭하여 악성코드 감염이 이루어지지 않도록 주의하시기 바랍니다.