악성 파일 정보

[악성코드 분석]광고성 스팸메일을 발송하는 악성코드 주의

광고성 스팸메일을 발송하는 악성코드 주의

1. 개요

광고성 스팸메일을 발송하는 악성코드는 도박, 성인 광고 스팸을 불특정 다수에게 자동으로 대량 발송한다. 광고성 스팸 발송 악성코드를 이용해 스팸 메일을 발송하는 특정 SMTP 서버의 주소를 국내 유명 통신사의 메일 주소로 속여서 국내 통신사가 사용자에게 스팸 메일을 보낸 것처럼 위장한 사례가 있다.

 

이번 보고서에서는 자동으로 광고성 스팸메일을 발송하는 악성코드의 동작에 대해 알아본다.


2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

임의의 문자열.exe

 파일크기

223,744 bytes

 진단명

Trojan/W32.Spamer.223744

악성동작

광고성 스팸메일 발송

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유포경로처럼 피싱 메일 또는 P2P 사이트를 통해 유포될 것으로 추정된다.

 

2-3. 실행 과정

해당 악성코드를 실행하면 특정 경로에 ‘csrss.exe’, ‘rundll32.exe’, ‘svchost.exe’, ‘rundll3.exe’ 파일명으로 자가 복제를 한 뒤, 자가 복제한 파일을 실행시킨다.

 

[그림 1] 실행 흐름[그림 1] 실행 흐름

 

 

 

 

 

위에서 실행된 프로세스는 광고성 스팸메일을 불특정 다수에게 SMTP(전자 우편 전송 프로토콜: Simple Mail Transfer Protocol)를 이용해 지속해서 발송한다.

 

[그림 2] 스팸 메일 전송 패킷[그림 2] 스팸 메일 전송 패킷

 

 

 

 

3. 악성 동작

3-1. 자가 복제

실행된 악성코드는 ‘C:\Users\사용자 계정명\AppData\Roaming’ 경로에 ‘csrss.exe’, ‘rundll32.exe’, ‘svchost.exe’ 파일명으로, ‘C:\Windows\System32’ 경로에 ‘rundll3.exe’ 파일명으로 자가 복제를 한다. 이때 파일 속성은 읽기 전용, 숨김 속성으로 복제된다.

 

[그림 3] 자가 복제[그림 3] 자가 복제

 

 

 

[그림 4] 자가 복제[그림 4] 자가 복제

 

 

3-2. 자동 실행 등록

자기 자신을 복제한 파일을 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

[그림 5] 자동 실행 등록[그림 5] 자동 실행 등록

 

 

3-3. 광고성 스팸메일 발송

자가 복제된 파일들이 실행되면서 광고성 스팸메일을 발신하는 특정 SMTP 서버와 연결하고, 사용자의 PC로 불특정 수신자에게 자동으로 발송한다.

스팸메일을 발송할 때 네트워크 패킷을 확인해 보면 스팸메일 발신자의 메일 주소, 수신자의 메일 주소, 수신된 시각, 메일 내용, 메일 전송 성공 여부 등을 알 수 있다. SMTP 응답 코드와 메일 헤더에 대한 설명은 아래 표에 기록되어 있다.

 

 

[그림 6] 메일 전송 패킷[그림 6] 메일 전송 패킷

 

 

 

응답 코드

내용 

220

서비스 준비됨

250

요청된 메일 전송 완료

[표 1] SMTP 응답 코드

 

 

메일 헤더

내용 

Received

 받은 편지함

Message-ID

메일의 식별 번호 

 Date

 메일이 수신된 날짜, 시간

Reply-To

 회신

 From

보낸 사람 (이름, 메일주소) 

 Subject

메일 제목 

 to

 받는 사람 (이름, 메일주소)

[표 2] 메일 헤더


 

 

 

 

메일의 내용에는 불법 사이트 링크가 걸린 ‘SHIP NOW’ 글자가 표시된다. 글자를 클릭하면 불법 성인 약품을 판매하는 웹 사이트로 연결된다.

 

[그림 7] 불법 사이트[그림 7] 불법 사이트

 

 

 

 

4. 결론

이번 보고서에서 알아본 광고성 스팸메일 전송 악성코드는 현재 분석 시점까지 특정 SMTP 서버와 연결이 가능한 상태이며 스팸메일 대량 발송으로 인해 리소스 저하를 유발하여 사용자의 컴퓨터 속도를 급격하게 감소시킬 수 있다. 대량의 SMTP 패킷이 발생하면 스팸 발송 악성코드인지 의심해보고 백신 제품을 설치해 예방하는 것이 좋다.


위 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기