안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

"견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드가 발견되어 사용자들의 주의를 당부 드립니다.

이번에 발견된 악성 메일은 ‘견적서 보내드립니다. 확인 부탁드립니다’는 내용으로 첨부된 파일의 실행을 유도합니다.

[그림 1] 실시간-바카라사이트 메일 본문

악성 메일에 첨부된 파일 ‘견적서.rar’에는 ‘견적서.exe’ 실행 파일이 있습니다.

[그림 2] 악성 메일에 첨부된 ‘견적서.rar’ 파일

‘견적서.exe’ 파일은 유저 이름, 컴퓨터 이름, 운영체제 정보 등의 시스템 정보, 그리고 다양한 FTP 프로그램, 웹 브라우저에 저장된 계정 정보를 전송하는 기능을 수행합니다.

[그림 3] 브라우저 정보 수집 코드

[그림 4] 시스템 정보 수집 코드

앞서 수집된 정보와 함께 "ckav.ru" 문자열을 C&C(http://31.220.1.194/~zadmin/ptr5/mono.php)에 전송하는 기능을 가집니다. 그러나 현재 C&C는 차단된 상태여서 정상적으로 접속되지 않습니다.

[그림 5] C&C로 전송되는 데이터

국내에 유입된 전신 송금 확인 실시간-바카라사이트 메일, 사서함 업그레이드 위장한 악성 메일 등 다양한 형태로 실시간-바카라사이트들이 이메일로 유포되고 있으니 각별한 주의 바랍니다.

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 실시간-바카라사이트 여부 검사를 수행해주시기 바랍니다.

현재 알약에서 관련 실시간-바카라사이트를 ‘Trojan.Fareit.gen'로 진단하고 있습니다.