울지않는벌새 : Security, Movie & Society

Spam 이메일 - Paris Hilton

벌새::Analysis

사용자 삽입 이미지사용자 삽입 이미지

최근 세계적인 트레블 메이커 Paris Hilton양의 사진을 이용한 악성코드 유포 목적의 스팸 이메일 수신이 늘어가고 있는 것 같습니다.

이메일의 내용은 Paris Hilton 사진을 게시하고 아래 링크를 통해 비디오 클립을 보기 위한 video.exe 파일을 설치하도록 유도하고 있습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.23 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 I-Worm/Nuwar.V
BitDefender 7.2 2008.08.23 -
CAT-QuickHeal 9.50 2008.08.22 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.23 -
DrWeb 4.44.0.09170 2008.08.22 -
eSafe 7.0.17.0 2008.08.21 Suspicious File
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.23 -
F-Secure 7.60.13501.0 2008.08.23 -
Fortinet 3.14.0.0 2008.08.23 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.23 -
K7AntiVirus 7.10.425 2008.08.22 -
Kaspersky 7.0.0.125 2008.08.23 Trojan-Downloader.Win32.Exchanger.qr
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.23 TrojanDownloader:Win32/Cbeplay.E
NOD32v2 3381 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.22 -
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.23 -
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.23 Mal/EncPk-DA
Sunbelt 3.1.1571.1 2008.08.23 Trojan-Downloader.Exchanger.Gen
Symantec 10 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 Trojan/Downloader.Exchanger.qr
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.22 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.23 Trojan.Crypt.XPACK.Gen
Additional information
File size: 78848 bytes
MD5...: ea51083923ff5e347440405a5393d400
SHA1..: 36d3968e717e787c6ca34926cec977093a865cb2

이메일에서 제공하는 링크의 아이피 대역은 다음과 같습니다.

209.47.165.59 ; port 80 (캐나다)
64.136.20.61 ; port 80 (미국)

전형적인 광고 등을 위해 개설된 서버로 추정됩니다.


또한 해당 유포 사이트에서는 추가적인 악성코드를 발견하였습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 -
Authentium 5.1.0.4 2008.08.23 -
Avast 4.8.1195.0 2008.08.22 VBS:Malware-gen
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.23 Trojan.Downloader.Js.Psyme.HZ
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.23 Trojan.Downloader.JS.Psyme-13
DrWeb 4.44.0.09170 2008.08.22 -
eSafe 7.0.17.0 2008.08.21 JS.Agent.aj
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.23 -
F-Secure 7.60.13501.0 2008.08.23 Trojan-Downloader.JS.Psyme.hz
Fortinet 3.14.0.0 2008.08.23 JS/Psyme.HZ!tr.dldr
GData 2.0.7306.1023 2008.08.20 Trojan-Downloader.JS.Psyme.hz
Ikarus T3.1.1.34.0 2008.08.23 -
K7AntiVirus 7.10.425 2008.08.22 -
Kaspersky 7.0.0.125 2008.08.23 Trojan-Downloader.JS.Psyme.hz
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.23 -
NOD32v2 3381 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.22 -
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.23 -
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.23 -
Sunbelt 3.1.1571.1 2008.08.23 -
Symantec 10 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.22 Trojan-Downloader.JS.Psyme.hz
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.23 JavaScript.CodeUnfolding.gen!High (suspicious)
Additional information
File size: 121865 bytes
MD5...: 78172b0ae0302f726a5d0f145190f386
SHA1..: 56a980001f082e996cd9e506b23dfad3ab44d766

해당 video.exe 악성코드를 설치할 경우 추가적으로 해외 허위 보안 제품 등 악의적인 파일을 다운로드하므로 주의하시기 바랍니다.