소포 배달이 실패되었다는 이메일로 위장하여 악성코드에 감염되도록 유도하는 EML 파일이 발견되었다.


해당 EML은 다음과 같은 형태를 띄고 있다.

[그림 1] DHL 배달 실패로 위장한 EML


메일 내용은 다음과 같다.


Dear (users), with this message we notify you  that shipment at your address, tracking ID #13741249, has FAILED due to an address mismatch. To obtain your parcel please print out the attached from and contact DHL US support


Feel free to contact us with any further questions.


해당 내용과 같이 소포 배달이 실패되었다는 이유로 첨부파일을 다운받아 실행시키도록 유도한다.


첨부된 악성파일은 DHL report.zip 으로 압축형태를 가지고 있으며, 압축을 풀어 보면 

DHL report.exe 파일이 들어있다.


만약 사용자가 의심없이 DHL report.exe 파일을 실행시킬 경우 악성코드에 감염이 된다.


실행시킨 악성코드는 system32에 svchost.exe 명으로 자기 자신을 복제하며 레지스트리값을 변경시켜 자동실행되도록 등록한다.

[그림 2] 레지스트리에 등록


레지스트리에 등록될 때 SunJavaUpdateSched라는 명을 사용하기 때문에 일반 사용자는 정상파일로 착각 할 수도 있다.


이 외에도 DHL 을 위장한 악성파일 유포는 계속 되고 있으므로 사용자는 의심가는 첨부파일을 함부로 실행시키지 않도록 해야한다.

Posted by J0hn Doe


티스토리 툴바