사이트를 운영중이나 블로그를 하고 있는 사람이라면 한 번은 혹하게 될 스팸 메일이 계속해서 발송되고 있다. 

택배 회사로 위장한 같은 종류의 스팸 메일 분석 http://zibsin.net/454

이런 스팸 메일을 워낙 많이 받다보니 이상하다 싶은 메일은 일단 보낸사람의 메일 주소를 확인한다. 정부 공식 메일이였다면 이메일 주소가 go.kr로 끝나야 한다. 그리고 공기관은 파일 첨부를 egg로 압축하지 않는다. 압축을 풀면 실행파일과 이미지 파일들이 있는데 어떤 걸 클릭해도 실행파일로 연결 되는 lnk파일이다.

이 스팸메일에 첨부 된 파일은 지난 번에도 직접 실행하고 분석해 본적이 있는데 가상화폐 채굴 프로그램이다. 워낙 적은양의 리소스만을 사용하기 때문에 일반 사용자들은 이상을 잘 느끼지 못한다.

혹은 랜섬웨어 악성코드도 이런 방법으로 배포 될 수 있으므로 의심되는 건 무조건 압축을 풀지말고 삭제하는 게 좋다.


egg로 압축 된 파일은 일단 의심하고 보자.

댓글을 달아 주세요


티스토리 툴바