광고성 스팸메일을 발송하는 악성코드 주의
1. 개요
광고성 스팸메일을 발송하는 악성코드는 도박, 성인 광고 스팸을 불특정 다수에게 자동으로 대량 발송한다. 광고성 스팸 발송 악성코드를 이용해 스팸 메일을 발송하는 특정 SMTP 서버의 주소를 국내 유명 통신사의 메일 주소로 속여서 국내 통신사가 사용자에게 스팸 메일을 보낸 것처럼 위장한 사례가 있다.
이번 보고서에서는 자동으로 광고성 스팸메일을 발송하는 악성코드의 동작에 대해 알아본다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
임의의 문자열.exe |
|
파일크기 |
223,744 bytes |
|
진단명 |
Trojan/W32.Spamer.223744 |
|
악성동작 |
광고성 스팸메일 발송 |
2-2. 유포 경로
정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유포경로처럼 피싱 메일 또는 P2P 사이트를 통해 유포될 것으로 추정된다.
2-3. 실행 과정
해당 악성코드를 실행하면 특정 경로에 ‘csrss.exe’, ‘rundll32.exe’, ‘svchost.exe’, ‘rundll3.exe’ 파일명으로 자가 복제를 한 뒤, 자가 복제한 파일을 실행시킨다.
![[그림 1] 실행 흐름](https://t1.daumcdn.net/cfile/tistory/9907B44E5C49430B17)
위에서 실행된 프로세스는 광고성 스팸메일을 불특정 다수에게 SMTP(전자 우편 전송 프로토콜: Simple Mail Transfer Protocol)를 이용해 지속해서 발송한다.
![[그림 2] 스팸 메일 전송 패킷](https://t1.daumcdn.net/cfile/tistory/991BCB4E5C49430C0C)
3. 악성 동작
3-1. 자가 복제
실행된 악성코드는 ‘C:\Users\사용자 계정명\AppData\Roaming’ 경로에 ‘csrss.exe’, ‘rundll32.exe’, ‘svchost.exe’ 파일명으로, ‘C:\Windows\System32’ 경로에 ‘rundll3.exe’ 파일명으로 자가 복제를 한다. 이때 파일 속성은 읽기 전용, 숨김 속성으로 복제된다.
![[그림 3] 자가 복제](https://t1.daumcdn.net/cfile/tistory/991FAD4E5C49430C16)
![[그림 4] 자가 복제](https://t1.daumcdn.net/cfile/tistory/99F1164E5C49430D18)
3-2. 자동 실행 등록
자기 자신을 복제한 파일을 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.
![[그림 5] 자동 실행 등록](https://t1.daumcdn.net/cfile/tistory/9920054E5C49430D16)
3-3. 광고성 스팸메일 발송
자가 복제된 파일들이 실행되면서 광고성 스팸메일을 발신하는 특정 SMTP 서버와 연결하고, 사용자의 PC로 불특정 수신자에게 자동으로 발송한다.
스팸메일을 발송할 때 네트워크 패킷을 확인해 보면 스팸메일 발신자의 메일 주소, 수신자의 메일 주소, 수신된 시각, 메일 내용, 메일 전송 성공 여부 등을 알 수 있다. SMTP 응답 코드와 메일 헤더에 대한 설명은 아래 표에 기록되어 있다.
![[그림 6] 메일 전송 패킷](https://t1.daumcdn.net/cfile/tistory/994FFF4E5C49430D14)
|
응답 코드 |
내용 |
|
220 |
서비스 준비됨 |
|
250 |
요청된 메일 전송 완료 |
[표 1] SMTP 응답 코드
|
메일 헤더 |
내용 |
|
Received |
받은 편지함 |
|
Message-ID |
메일의 식별 번호 |
|
Date |
메일이 수신된 날짜, 시간 |
|
Reply-To |
회신 |
|
From |
보낸 사람 (이름, 메일주소) |
|
Subject |
메일 제목 |
|
to |
받는 사람 (이름, 메일주소) |
[표 2] 메일 헤더
메일의 내용에는 불법 사이트 링크가 걸린 ‘SHIP NOW’ 글자가 표시된다. 글자를 클릭하면 불법 성인 약품을 판매하는 웹 사이트로 연결된다.
![[그림 7] 불법 사이트](https://t1.daumcdn.net/cfile/tistory/99867F4E5C496E2823)
4. 결론
이번 보고서에서 알아본 광고성 스팸메일 전송 악성코드는 현재 분석 시점까지 특정 SMTP 서버와 연결이 가능한 상태이며 스팸메일 대량 발송으로 인해 리소스 저하를 유발하여 사용자의 컴퓨터 속도를 급격하게 감소시킬 수 있다. 대량의 SMTP 패킷이 발생하면 스팸 발송 악성코드인지 의심해보고 백신 제품을 설치해 예방하는 것이 좋다.
위 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
![[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/997EF84F5C496EBC2E)
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석]애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의 (0) | 2019.02.13 |
|---|---|
| [악성코드 분석]저장된 로그인 정보를 탈취하는 악성코드 감염 주의 (0) | 2019.01.31 |
| [악성코드 분석]트위터 이미지 이용한 악성 프로그램 감염 주의 (0) | 2019.01.07 |
| [악성코드 분석]사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의 (0) | 2018.12.26 |
| [악성코드 분석]한글 문서에 포함된 매크로 악성코드 분석 (0) | 2018.11.28 |