본문 바로가기

벌새::Analysis

Spam 이메일 - Coca Cola is proud to announce our new Christmas Promotion


크리스마스와 연말을 맞이하여 각종 악의적인 이메일이 많이 유포되는 시기입니다.

해당 이메일은 코카콜라에서 크리스마스를 맞이하여 프로모션(Promotion)을 진행한다는 내용으로 구성되어 있으며, 첨부 파일로 promotion.zip 압축 파일을 포함하고 있습니다.

[promotion.exe]


Antivirus Version Last Update Result
a-squared 4.0.0.73 2008.12.31 Worm.Win32.AutoRun!IK
AhnLab-V3 2008.12.31.0 2008.12.31 -
AntiVir 7.9.0.45 2008.12.30 TR/Dropper.Gen
Authentium 5.1.0.4 2008.12.30 -
Avast 4.8.1281.0 2008.12.30 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.30 Win32/Cryptor
BitDefender 7.2 2008.12.31 Backdoor.Bot.69402
CAT-QuickHeal 10.00 2008.12.31 -
ClamAV 0.94.1 2008.12.30 -
Comodo 851 2008.12.31 Worm.Win32.AutoRun.~PR
DrWeb 4.44.0.09170 2008.12.31 Trojan.MulDrop.29265
eSafe 7.0.17.0 2008.12.30 -
eTrust-Vet 31.6.6284 2008.12.31 -
Ewido 4.0 2008.12.30 -
F-Prot 4.4.4.56 2008.12.30 -
F-Secure 8.0.14470.0 2008.12.31 Email-Worm:W32/Mydoom.BZ
Fortinet 3.117.0.0 2008.12.31 W32/AutoRun.UCN!worm
GData 19 2008.12.31 Backdoor.Bot.69402
Ikarus T3.1.1.45.0 2008.12.31 Worm.Win32.AutoRun
K7AntiVirus 7.10.571 2008.12.30 Worm.Win32.AutoRun.ucn
Kaspersky 7.0.0.125 2008.12.31 Worm.Win32.AutoRun.ucn
McAfee 5479 2008.12.30 Spam-Mailbot.c
McAfee+Artemis 5479 2008.12.30 Spam-Mailbot.c
Microsoft 1.4205 2008.12.31 Worm:Win32/Prolaco.E
NOD32 3724 2008.12.30 a variant of Win32/Injector.DG
Norman 5.80.02 2008.12.30 W32/Mailbot.EK
Panda 9.0.0.4 2008.12.30 W32/AutoRun.DJ.worm
PCTools 4.4.2.0 2008.12.30 -
Prevx1 V2 2008.12.31 -
Rising 21.10.20.00 2008.12.31 -
SecureWeb-Gateway 6.7.6 2008.12.30 Trojan.Dropper.Gen
Sophos 4.37.0 2008.12.31 Troj/CryptBox-A
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2008.12.31 W32.SillyFDC
TheHacker 6.3.1.4.202 2008.12.30 W32/AutoRun.ucn
TrendMicro 8.700.0.1004 2008.12.31 -
VBA32 3.12.8.10 2008.12.30 Worm.Win32.AutoRun.ucn
ViRobot 2008.12.30.1540 2008.12.31 Worm.Win32.Autorun.318464
VirusBuster 4.5.11.0 2008.12.30 Trojan.Doominject.Gen
Additional information
File size: 318464 bytes
MD5...: bbf907e8d7f5c7563cdf6ea72d652d44
SHA1..: f2cd0a116b82d03b643cbe44e945e3cc46393904


압축 파일을 풀면 promotion.exe 파일이 있으며, 해당 악성코드는 오토런(autorun) 기능을 실행하는 것으로 보입니다.

실제 악성코드에 감염되면 %System%\crs.exe %System%\geBssRLf.dll 파일 생성을 통하여 레지스트리 생성 및 수정을 통해 IE를 변조하는 것으로 보입니다.

해당 이메일의 내용에서 연결되는 링크는 실제 코카콜라 웹 사이트로 다른 피싱 관련 사이트로 연결되는 부분은 확인되지 않았습니다.