'스팸메일'에 해당되는 글 1건

  1. 2011.01.04 [Malware Analysis] 신년 카드를 위장한 스팸 메일 주의

최근 [그림 1]과 같은 신년 카드를 위장한 스팸메일이 다수 유포되고 있습니다. 스팸메일에는 별도의 첨부 파일이 포함되어 있지 않지만 아래 그림과 같이 특정 링크로 사용자의 접속을 유도합니다.

                                                              [그림 1]

○ 스팸메일 내용
제 목 : An E-card from Adam

내 용
Adam sent you a Happy New Year e-card.

You can access this service at: http://vitala[생략].com/xz9a9qws.html

You can see your card at any time within 60 days.

제 목 : Warmest Wishes For New Year!

Mamie created for you a New Year greeting card.

Your Ecard: http://sem[생략].com.tr/0kmx6d1b.html

Hope you enjoy our e-cards!

제 목 : Special New Year Wish for you
Edith has mailed Happy New Year greeting.
Click here to view your card: http://spe[생략].ir/o1mv1ks1.html
The greeting card will be stored for you for 14 days.

제 목 : Happy New Year greetings from your friend
Austin chose for you the ecard.
Your Ecard is here: http://play[생략].com/iagsab7o.html
Hope you enjoy our e-cards!


메일에 있는 링크 클릭시 [그림 2]와 같은 페이지로 접속하게 됩니다. 마치 신년카드를 보기 위해서 Flash Player를 설치할 것을 유도하고 있습니다. "Download Flash Player!" 링크 클릭시 [그림 3]과 같이 install_flash_player.exe 파일을 다운로드 합니다.
                                                                [그림 2]
                                                                 [그림 3]

해당 파일 실행시 [그림 4]와 같이 특정 서버로 접속하여 flash2.exe 파일을 다운로드 합니다.
                                                                  [그림 4]

다운로드된 flash2.exe는 _ex-68.exe 등의 파일명으로 복사되어 실행되며 [그림 5]와 같이 특정 서버로 어떤 값을 전송하며, 서버로부터 특정 데이터를 받아오는 것을 볼 수 있습니다. 해당 정보들은 인코딩 되어 있는 것으로 보이며, 어떤 값들인지에 대한 여부는 좀 더 분석을 해봐야 겠습니다.
                                                                   [그림 5]

감염된 시스템은 스팸 메일을 보내는 스팸봇의 역할을 수행하게 되며 [그림 6]과 같이 다수의 이메일 주소로 스팸 메일을 보내게 됩니다.
                                                                    [그림 6]

                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |
                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K