본문 바로가기

벌새::Analysis

Spam 메일 : You have received a secure message from Bank Of America (2013.8.15)

반응형

Bank of America 금융 회사에서 발송한 이메일로 위장하여 보안 메시지 관련 첨부 파일을 다운로드 및 실행하도록 유도하는 악성 이메일이 국내에서 발견되고 있으므로 주의하시기 바랍니다.

해당 이메일의 제목은 "You have received a secure message from Bank Of America"로 되어 있으며, 내부에는 보안 메시지 관련 첨부 파일(secure_message_08142013_89410112447388815.zip)을 다운로드하여 실행하도록 유도하고 있습니다.

ZIP 압축 파일로 제작된 첨부 파일을 오픈하면 PDF 문서 아이콘으로 등록된 실행 파일(secure_message_08142013_{DIGIT[17]}.exe)이 포함되어 있으며, 해당 파일(MD5 : abafb7da0f23112064f6bc3a1f93ddf6)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Tepfer.R78601 (VT : 24/46) 진단명으로 진단되고 있습니다.

사용자가 PDF 문서 파일로 착각하여 실행할 경우 미국(USA)에 위치한 특정 서버로 지속적인 연결을 시도하며, 약 4분이 경과하면 다음과 같은 추가적인 다운로드를 진행하여 4개의 파일을 다운로드 시도합니다.

  • h**p://dp55197480.lolipop.jp/1ayPTHK.exe (MD5 : 1b8ff78b4a99ee88c0129691c5d382d7) - Kaspersky : Trojan-Spy.Win32.Zbot.omru (VT : 15/46)
  • h**p://roundaboutcellars.com/Utuw1.exe (MD5 : 1bc1b6785b0df66f731487dccb07b69c) - AhnLab V3 : Trojan/Win32.Midhos (VT : 10/46)
  • h**p://bbsmfg.biz/VKPqrms.exe (MD5 : 1b8ff78b4a99ee88c0129691c5d382d7) - Kaspersky : Trojan-Spy.Win32.Zbot.omru (VT : 15/46)
  • h**p://caribbeancinemas.net/MLEYCY9.exe :: 다운로드 실패

이를 통해 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\630868.exe" 파일 생성 및 실행되어 다음과 같은 파일을 추가한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Wumo
C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe
 - MD5 : 2ee0ca777d8c6282502f2fe49f409e10
 - Kaspersky : Trojan-Spy.Win32.Zbot.omru (VT : 7/46)

 

※ 폴더 및 파일명은 랜덤(Random)하게 생성됩니다.

 

[생성 레지스트리 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Ixefjiujyxf
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Usoh = C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe

랜덤(Random)한 파일명으로 생성된 "C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe" 파일은 Windows 시작시 자동 실행되도록 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
 - TCP Query User{805DF934-D4AA-428D-8BA4-457378F2DA79}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:
\windows\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

 - UDP Query User{30993C11-E0F7-4A2E-9D73-626D0AA17347}C:\windows\system32\taskhost.exe = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\windows\system32\taskhost.exe|Name=Windows 작업을 위한 호스트 프로세스|Desc=Windows 작업을 위한 호스트 프로세스|Defer=User|

또한 Windows 방화벽에 "Windows 작업을 위한 호스트 프로세스" 허용 프로그램을 등록하여 다음과 같은 TCP, UDP 포트를 통해 외부와 통신을 할 수 있도록 합니다.

프로세스를 통해 확인해보면 taskhost.exe(Windows 작업을 위한 호스트 프로세스) 파일을 통해 TCP 4576 포트, UDP 4490 포트를 오픈하여 동작하는 것을 확인할 수 있습니다.

 

[추가 생성(수정) 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Wumo\usoh.exe
 - MD5 : bf2c5c9886626e357d832c1ae7cac68e
 - AhnLab V3 : Spyware/Win32.Zbot (VT : 20/46)

감염된 시스템에서는 일정 시간이 경과하면 "C:\Windows\system32\taskhost.exe" 파일을 통해 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\OLN527A" 파일을 생성하여, 기존에 생성되었던 파일(usoh.exe)이 다른 파일로 교체가 이루어지는 동작도 확인되고 있습니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Local\Microsoft\Windows Mail" 내부에 등록된 이메일 주소록 정보를 참조하여 스팸(Spam) 메일 발송 및 정보 유출, 사용자 PC에서 발견 가능한 FTP 서버 정보 수집 등의 악의적 기능을 수행할 수 있습니다.

 

그러므로 이메일을 통해 수신된 의심스러운 파일을 호기심을 열어보는 일이 없도록 주의하시기 바라며, 금융권에서는 이메일을 통해 첨부 파일이 포함된 문서 등을 발송하지 않는 것이 일반적이므로 이러한 수법에 속지 않도록 주의하시기 바랍니다.

 

 

728x90
반응형