본문 바로가기

벌새::Analysis

Spam 이메일 - More info Interesting mpeg4



최근 이메일을 통해 유포되는 각종 해외 유명인의 자극적인 사진 또는 비디오를 감상할 수 있다는 형태의 스팸 메일입니다.

매번 다양한 형태로 발송되지만 근본적인 형태는 위와 같이 자극적인 비디오를 보기 위해 특정 웹사이트로 유도를 합니다.


해당 웹사이트는 YouTube로 위장한 피싱 사이트로 구성되어 마치 동영상을 감상할 수 있는 것처럼 꾸며져 있으며 사용자에게 신뢰할 수 있는 것처럼 보입니다.

해당 비디오를 보기 위해 다운로드 되는 파일은 현재 국내외 보안제품에서 다음과 같이 진단하고 있습니다.

[pornovideo729lo.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.08.31 Downloader.FraudLoad.V
BitDefender 7.2 2008.09.01 -
CAT-QuickHeal 9.50 2008.08.29 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 Trojan.DownLoad.3705
eSafe 7.0.17.0 2008.08.31 Suspicious File
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.09.01 -
F-Secure 7.60.13501.0 2008.09.01 Trojan-Downloader.Win32.Exchanger.tp
Fortinet 3.14.0.0 2008.09.01 W32/PolyExchanger.A!tr
GData 19 2008.09.01 Trojan-Downloader.Win32.Exchanger.tp
Ikarus T3.1.1.34.0 2008.09.01 Trojan-Downloader.Win32.Exchanger.tp

K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.09.01 Trojan-Downloader.Win32.Exchanger.tp
McAfee 5373 2008.08.29 Tibs-Packed

Microsoft 1.3807 2008.08.25 -
NOD32v2 3402 2008.08.31 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.09.01 -
Rising 20.59.62.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 Mal/EncPk-DA
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.31 -
VBA32 3.12.8.4 2008.08.31 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 Trojan.Crypt.XPACK.Gen
Additional information
File size: 76800 bytes
MD5...: d5bcc309686f4290de09d7623e563f41
SHA1..: 44d53f3f82ab74b21e4d581e3e9a1d2c79a1fc84

부쩍 변종이 늘어나고 있는 Exchanger Family의 유포 방식이었습니다.