본문 바로가기

벌새::Analysis

Spam 메일 : You have received a secure message from Bank Of America (2013.8.15)

Bank of America 금융 회사에서 발송한 이메일로 위장하여 보안 메시지 관련 첨부 파일을 다운로드 및 실행하도록 유도하는 악성 이메일이 국내에서 발견되고 있으므로 주의하시기 바랍니다.

해당 이메일의 제목은 "You have received a secure message from Bank Of America"로 되어 있으며, 내부에는 보안 메시지 관련 첨부 파일(secure_message_08142013_89410112447388815.zip)을 다운로드하여 실행하도록 유도하고 있습니다.

ZIP 압축 파일로 제작된 첨부 파일을 오픈하면 PDF 문서 아이콘으로 등록된 실행 파일(secure_message_08142013_{DIGIT[17]}.exe)이 포함되어 있으며, 해당 파일(MD5 : abafb7da0f23112064f6bc3a1f93ddf6)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Tepfer.R78601 (VT : 24/46) 진단명으로 진단되고 있습니다.

사용자가 PDF 문서 파일로 착각하여 실행할 경우 미국(USA)에 위치한 특정 서버로 지속적인 연결을 시도하며, 약 4분이 경과하면 다음과 같은 추가적인 다운로드를 진행하여 4개의 파일을 다운로드 시도합니다.

  • h**p://dp55197480.lolipop.jp/1ayPTHK.exe (MD5 : 1b8ff78b4a99ee88c0129691c5d382d7) - Kaspersky : Trojan-Spy.Win32.Zbot.omru (VT : 15/46)
  • h**p://roundaboutcellars.com/Utuw1.exe (MD5 : 1bc1b6785b0df66f731487dccb07b69c) - AhnLab V3 : Trojan/Win32.Midhos (VT : 10/46)
  • h**p://bbsmfg.biz/VKPqrms.exe (MD5 : 1b8ff78b4a99ee88c0129691c5d382d7) - Kaspersky : Trojan-Spy.Win32.Zbot.omru (VT : 15/46)
  • h**p://caribbeancinemas.net/MLEYCY9.exe :: 다운로드 실패

이를 통해 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\630868.exe" 파일 생성 및 실행되어 다음과 같은 파일을 추가한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Wumo
C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe
 - MD5 : 2ee0ca777d8c6282502f2fe49f409e10
 - Kaspersky : Trojan-Spy.Win32.Zbot.omru (VT : 7/46)

 

※ 폴더 및 파일명은 랜덤(Random)하게 생성됩니다.

 

[생성 레지스트리 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Ixefjiujyxf
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Usoh = C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe

랜덤(Random)한 파일명으로 생성된 "C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe" 파일은 Windows 시작시 자동 실행되도록 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
 - TCP Query User{805DF934-D4AA-428D-8BA4-457378F2DA79}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:
\windows\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

 - UDP Query User{30993C11-E0F7-4A2E-9D73-626D0AA17347}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\windows\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

또한 Windows 방화벽에 "Windows 작업을 위한 호스트 프로세스" 허용 프로그램을 등록하여 다음과 같은 TCP, UDP 포트를 통해 외부와 통신을 할 수 있도록 합니다.

프로세스를 통해 확인해보면 taskhost.exe(Windows 작업을 위한 호스트 프로세스) 파일을 통해 TCP 4576 포트, UDP 4490 포트를 오픈하여 동작하는 것을 확인할 수 있습니다.

 

[추가 생성(수정) 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe
 - MD5 : bf2c5c9886626e357d832c1ae7cac68e
 - AhnLab V3 : Spyware/Win32.Zbot (VT : 20/46)

감염된 시스템에서는 일정 시간이 경과하면 "C:\Windows\system32\taskhost.exe" 파일을 통해 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\OLN527A" 파일을 생성하여, 기존에 생성되었던 파일(usoh.exe)이 다른 파일로 교체가 이루어지는 동작도 확인되고 있습니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Local\Microsoft\Windows Mail" 내부에 등록된 이메일 주소록 정보를 참조하여 스팸(Spam) 메일 발송 및 정보 유출, 사용자 PC에서 발견 가능한 FTP 서버 정보 수집 등의 악의적 기능을 수행할 수 있습니다.

 

그러므로 이메일을 통해 수신된 의심스러운 파일을 호기심을 열어보는 일이 없도록 주의하시기 바라며, 금융권에서는 이메일을 통해 첨부 파일이 포함된 문서 등을 발송하지 않는 것이 일반적이므로 이러한 수법에 속지 않도록 주의하시기 바랍니다.