울지않는벌새 : Security, Movie & Society

Spam 이메일 - Coca Cola is proud to announce our new Christmas Promotion

벌새::Analysis


크리스마스와 연말을 맞이하여 각종 악의적인 이메일이 많이 유포되는 시기입니다.

해당 이메일은 코카콜라에서 크리스마스를 맞이하여 프로모션(Promotion)을 진행한다는 내용으로 구성되어 있으며, 첨부 파일로 promotion.zip 압축 파일을 포함하고 있습니다.

[promotion.exe]


Antivirus Version Last Update Result
a-squared 4.0.0.73 2008.12.31 Worm.Win32.AutoRun!IK
AhnLab-V3 2008.12.31.0 2008.12.31 -
AntiVir 7.9.0.45 2008.12.30 TR/Dropper.Gen
Authentium 5.1.0.4 2008.12.30 -
Avast 4.8.1281.0 2008.12.30 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.30 Win32/Cryptor
BitDefender 7.2 2008.12.31 Backdoor.Bot.69402
CAT-QuickHeal 10.00 2008.12.31 -
ClamAV 0.94.1 2008.12.30 -
Comodo 851 2008.12.31 Worm.Win32.AutoRun.~PR
DrWeb 4.44.0.09170 2008.12.31 Trojan.MulDrop.29265
eSafe 7.0.17.0 2008.12.30 -
eTrust-Vet 31.6.6284 2008.12.31 -
Ewido 4.0 2008.12.30 -
F-Prot 4.4.4.56 2008.12.30 -
F-Secure 8.0.14470.0 2008.12.31 Email-Worm:W32/Mydoom.BZ
Fortinet 3.117.0.0 2008.12.31 W32/AutoRun.UCN!worm
GData 19 2008.12.31 Backdoor.Bot.69402
Ikarus T3.1.1.45.0 2008.12.31 Worm.Win32.AutoRun
K7AntiVirus 7.10.571 2008.12.30 Worm.Win32.AutoRun.ucn
Kaspersky 7.0.0.125 2008.12.31 Worm.Win32.AutoRun.ucn
McAfee 5479 2008.12.30 Spam-Mailbot.c
McAfee+Artemis 5479 2008.12.30 Spam-Mailbot.c
Microsoft 1.4205 2008.12.31 Worm:Win32/Prolaco.E
NOD32 3724 2008.12.30 a variant of Win32/Injector.DG
Norman 5.80.02 2008.12.30 W32/Mailbot.EK
Panda 9.0.0.4 2008.12.30 W32/AutoRun.DJ.worm
PCTools 4.4.2.0 2008.12.30 -
Prevx1 V2 2008.12.31 -
Rising 21.10.20.00 2008.12.31 -
SecureWeb-Gateway 6.7.6 2008.12.30 Trojan.Dropper.Gen
Sophos 4.37.0 2008.12.31 Troj/CryptBox-A
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.31 W32.SillyFDC
TheHacker 6.3.1.4.202 2008.12.30 W32/AutoRun.ucn
TrendMicro 8.700.0.1004 2008.12.31 -
VBA32 3.12.8.10 2008.12.30 Worm.Win32.AutoRun.ucn
ViRobot 2008.12.30.1540 2008.12.31 Worm.Win32.Autorun.318464
VirusBuster 4.5.11.0 2008.12.30 Trojan.Doominject.Gen
Additional information
File size: 318464 bytes
MD5...: bbf907e8d7f5c7563cdf6ea72d652d44
SHA1..: f2cd0a116b82d03b643cbe44e945e3cc46393904


압축 파일을 풀면 promotion.exe 파일이 있으며, 해당 악성코드는 오토런(autorun) 기능을 실행하는 것으로 보입니다.

실제 악성코드에 감염되면 %System%\crs.exe %System%\geBssRLf.dll 파일 생성을 통하여 레지스트리 생성 및 수정을 통해 IE를 변조하는 것으로 보입니다.

해당 이메일의 내용에서 연결되는 링크는 실제 코카콜라 웹 사이트로 다른 피싱 관련 사이트로 연결되는 부분은 확인되지 않았습니다.