HSBC은행 사칭 스팸메일 악성코드 유포 주의 및 대책

올 초부터 HSBC은행 사칭 스팸메일 유포.
기존 스팸메일과 다른 점은 은행에서 돈을 회수 하거나 자금이 있으니 상담하라는 것.
해당 메일 안에 악성코드 첨부.
피해자가 발생될 수 있는 부분이여서 주의가 요구됩니다.

 

 

유명 은행을 사칭한 메일로 다수의 사용자들에게 클릭을 유도하는 스팸메일임.

메일 제목은 'HSBC Payment Advice - Advice Ref:'와 같은 형태로 발송됩니다.

[메일스샷 1] 제 메일계정으로 수신된 내용

 
메일을 열어보면 내용에는 메일받은 당사자가 마치 은행계좌 회원인것처럼 설명하고 있음
아래는 메일 내용입니다.
 Sir/Madam

The attached payment advice is issued at the request of our customer. The advice is for your reference only.
 
Yours faithfully
 
Global Payments and Cash Management
 
HSBC

***************************************************************************
 
This is an auto-generated email, please DO NOT REPLY. Any replies to this email will be disregarded.
 
***************************************************************************

This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return e-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors or omissions.
 
***************************************************************************

"SAVE PAPER - THINK BEFORE YOU PRINT!"
이런식으로 메일이 옵니다.
그리고 첨부된 파일은 압축파일로 되어 있으며, PDF 문서의 아이콘을 가지고 있지만 실제로는 실행파일인 경우입니다.
즉 악성코드인 것이지요.

 

[메일스샷 2] 메일에 첨부된 악성 파일

 

아래는 안랩에서 공개한 정보를 바탕으로 짧게 요약했습니다.

 

[파일생성] 첨부파일을 열어 악성코드에 감염된 후 생성되는 파일.
%TEMP%\624765.exe
%AppData%\Ciria\izdoes.exe
%TEMP%\637046.exe
%TEMP%\659875.exe
%TEMP%\682343.exe

 

[레지스트리 등록] 시스템 재 시작 시에도 동작할 수 있다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{1593167F-6E50-AD40-5B87-53325B9F7020}
"C:\Documents and Settings\Administrator\Application Data\Ciria\izdoes.exe"

 

[악성코드 감염 후 접속 시도 주소들 ]
64.34.***.***:8080/pon***/gate.php
94.32.***.***/pon***/gate.php
116.122.***.***:8080/pon***/gate.php
hepcsupport.net/pon***/gate.php

 

[ 이후 추가적인 파일 다운로드 진행]
www.300******websites.com/****cEhB.exe
1787****.sites.****registeredsite.com/***AeL.exe
heermeyer-i*********.de/**u4.exe
15******.webhosting*****.de/**2LLnfS.exe

 

[위장]
국제 운송업체, 각종은행 사칭해서 발송되는 스팸메일

 

[스팸방지 대책]
해당 은행에 계정이 없거나 불확실하다면 과감히 휴지통에 버리는게 상책.
특히 첨부파일이 포함된 메일은 각별한 주의가 필요 함.

안랩 V3 제품에서는 아래와 같이 진단이 가능합니다.
http://www.ahnlab.com/kr/site/main/main.do

[V3 제품군의 진단명]
Trojan/Win32.Tepfer

스팸메일로부터 안전한 인터넷 생활 하세요.

안랩에서 악성코드에 대한 여러가지 검색도 해 볼 수 있어요.

어떤 악성코드에 대한 정밀한 정보도 볼 수 있지요.

안랩 사이트 이동 후 서치에서 검색하면 나옵니다.

또한 이렇게 무료로 V3 Lite도 배포 하고 있으니 사용하면서 악성 바이러스로 부터 pc를 안전하게 보호하자구요.

물론 악성코드 퇴치를 위해 알약이나 노턴안티바이러스 같은 제품군들도 있습니다.