2009년 7월 8일 목요일 저녁부터 Memory Of... 라는 제목의 메일이 뿌려지기 시작합니다.


 
- DDOS와 관련된 수상한 메일?
  http://arrestlove.tistory.com/186

- 정체불명 스팸메일 확산 (디지털 타임스)
http://www.dt.co.kr/contents.html?article_no=2009071002010251739002



저도 목요일 저녁에 메일을 받았고 당시 DDoS 공격 악성코드 내에서 'Memory of the Independence Day'라는 문자열이 발견되었기 때문에 연관상을 의심했습니다.

현재 악성코드 구성 파일 중 mstimer.dll 에서 이 메일을 발송하는 것으로 확인되었습니다.

메일 형태는 아래와 같습니다.

- 보낸사람 : Independence
- 제목 : Memory Of...
- 본문 : last
- 첨부 파일 : memory.rar (22 바이트)



메일 헤더를 보면 보낸 'Independence' 로 되어 있으며 도메인은 받는 사람과 동일합니다.
메일을 보낸 사람은 존재하지 않는 계정입니다.




첨부된 memory.rar 파일은 의미 없는 RAR 파일입니다.
의도된 것인지 버그로 발송되는지는 추가로 확인해봐야 합니다.


* 조치 사항

해당 메일을 받았다고해서 자신의 컴퓨터가 해킹되었거나 해킹되지 않습니다.
따라서, 너무 겁먹을 필요 없고 스팸 메일 처럼 삭제하시면 됩니다.
그리고, 혹시 악성코드가 포함된 제대로된 첨부 파일이 도착할 수 있으므로 첨부 파일은 절대 열어보시면 안됩니다
Posted by mstoned7

댓글을 달아 주세요

  1. H.F.Kais 2009.07.10 12:39  댓글주소  수정/삭제  댓글쓰기

    저도 같은 메일을 받았는데 RAR 파일을 열어도 아무런 일도 일어나지 않더군요. 백신의 실시간 감시를 켜놨는데도 아무런 메시지가 나타나질 않고...그냥 지워버렸습니다.;

    • mstoned7 2009.07.10 13:24 신고  댓글주소  수정/삭제

      네, 보통 첨두된 rar 파일은 빈 내용이기 때문에 열어도 별다른 문제 없습니다. (그런데, 보안을 위해서는 앞으로 이런 메일의 첨부 파일은 안 열어보시는게 좋을 듯 합니다 ^^) 스팸 메일이라고 생각하시고 그냥 지우시면 됩니다.

  2. Hans 2009.07.10 21:07  댓글주소  수정/삭제  댓글쓰기

    관리자의 승인을 기다리고 있는 댓글입니다

  3. mstoned7 2009.07.11 17:08 신고  댓글주소  수정/삭제  댓글쓰기

    Ha** 님 죄송합니다. 현재 메일을 지워버려 보내드릴 수 없네요.

  4. 손띵구리 2009.07.11 18:42  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 글들 잘 읽고 있습니다. :) 쿨캣님의 글과 KISA에 나온 7월 8일자 보고서에 보면 msiexec*파일에 의해 *.dll과 *.nls 파일로 작동되는 것으로 보입니다. 5종류된다고 기사도 얼핏 본 것 같은데 2종류정도만 알고 있습니다.

    이번이 DDoS와 하드MBR을 망가트리고 대량 이멜을 보내는 wversion.exe과는 어려움없이... 모두 같은 곳의 소행으로 파악되고 있는 곳으로 보고 있는데, 어떠한 근거를 가지고 있는지 궁금합니다.

    또 이번에 제시한 분한의 윤모씨 해커(지난번 금전 거래를 요구했었다)는 기사로 연관시키는 것으로 보이며 그 패턴이라고 이야기하는 mls 확장자 파일은... 8일자 보고서와 여기 블로그를 참고하여 아직 본 적이 없습니다. 이 mls 파일은 확인하셨고, 지금 백신들에 의해 이번 기회에 새로 추가된 것인가요?

    위 DDoS와 Wversion(?)중 mls는 어디에 속하는 것인가요? 질문만을 갑자기 드려 죄송합니다. :)

    • mstoned7 2009.07.11 20:03 신고  댓글주소  수정/삭제

      1. 국내 공격에 사용된건 2개이지만 7월 7일 이전에 미국 사이트 공격이 있었고 이때 3개 파일이 사용되었습니다. 저는 양국가 공격에 사용된 모두를 얘기한 겁니다.

      2. 안철수연구소 ASEC 블로그(http://blog.ahnlab.com/asec/50?TSSESSIONblogahnlabcom=6732380a3241e0bf239d27575bee3393)을 보시면 DDoS 악성코드 상관 관계도가 있습니다 이 그림을 보면 DDoS 공격과 하드디스크 데이터를 손상시키는 악성코드는 같은 뿌리에서 나옵니다.

      3. mls 에 대해서는 알지 못합니다.

      아래 기사에 따르면 mls 가 아니라 nls 이네요.

      http://www.ytn.co.kr/_ln/0101_200907111738500527

      4. wversion과 nls(mls)는 ASEC 블로그 그림에서처럼 전체 DDoS 공격 악성코드에 포함됩니다.

  5. 손띵구리 2009.07.11 20:33  댓글주소  수정/삭제  댓글쓰기

    앗 감사합니다. ㅋㅋ 이런 단순한 오자(보)였네요.

    혹시해서 물어보는 김에 추가했는데 관계도를 보니 궁금한점이 사라졌습니다. ^.^

    • mstoned7 2009.07.11 20:39 신고  댓글주소  수정/삭제

      저도 관계도를 보고... 머리에 쏙쏙 이해되더군요. 게다가 제 기준에서는 이정도 관계도 그리는 것도 대단합니다. (저는 그림에 소질이 없어서...)