2011.11.30
안녕하세요. 안랩인입니다. 한국 시각으로 2011년 6월 29일 새벽 사용하는 신용 카드가 한도를 초과 하였다는 메일로 위장하여 악성코드를 첨부 한 악성 스팸 메일(Spam Mail)이 유포 된 것이 발견되었습니다. 해당 악성 스팸 메일에 첨부된 악성코드를 실행하게 될 경우에는 특정 시스템으로부터 금전을 목적으로 한 허위 시스템 복구 프로그램을 다운로드 및 실행 하게 됩니다.
다운로드 된 허위 시스템 복구 프로그램은 이 번에 처음 발견된 형태는 아니며 2010년 12월 해외에서 발견된 사례가 존재합니다.
이번에 발견된 악성코드가 첨부된 해당 악성 스팸 메일은 아래 이미지와 같은 "Credit Card Overdue" 제목을 사용하고 있으며 메일 본문에는 사용하는 신용 카드가 한도가 초과하였음을 알리는 내용을 담고 있습니다.
해당 메일에 첨부되어 있는 Customer details.zip(11,750 바이트)의 압축을 풀게 되면 아래 이미지와 같이 전자 문서 프로그램인 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일 형식인 PDF와 동일한 아이콘을 가진 Customer Details.exe(26,624 바이트)가 생성이 됩니다.
해당 파일이 실행 되면 윈도우(Windows) 시스템에 존재하는 정상 파일인 svchost.exe를 강제로 실행 시킨 후 아래 이미지와 같이 svchost.exe의 메모리 영역에 자신의 코드 전체를 강제로 덮어쓰게 됩니다.
그리고 정상 프로세스인 svchost.exe의 프로세스를 이용하여 특정 시스템으로 접속을 시도하여 성공적으로 접속이 될 경우 허위 시스템 복구 프로그램으로 위장한 악성코드를 다운로드 및 실행하게 됩니다. <Ahn>
* 더 자세한 내용은 안랩 홈페이지 를 참고해 주세요.
'AhnLab 보안in' 카테고리의 다른 글
| 안철수연구소에서 살펴보는 유럽 타겟 악성 어플리케이션 (0) | 2020.04.13 |
|---|---|
| 2012년 버전으로 위장한 허위 클라우드 백신 (0) | 2020.04.13 |
| 웹 서버를 조종하는 '보이지 않는 손' (0) | 2020.04.13 |
| 배너광고는 악성코드를 싣고 (0) | 2020.04.13 |
| 동의없이 설치되는 불필요한 프로그램들 (0) | 2020.04.13 |
