earticle

영어

Spam is one of the methods to propagate malware, and malware authors mainly use social engineering means in order to get Internet users open spam and execute an attached malware. In this paper, we analyze the malware which is attached in the spam by categorizing them into behavior analysis and network traffic analysis and propose defense mechanisms based on the result. As a results of analyzing the behavior in system and network traffic, it was observed that this malware creates new files, registries, key log files in newly infected machines. Furthermore, we inferred that malware sent spam to user's e-mail addresses from cookie files, communicated with specific server continuously and downloaded other malware. With this analyzed result, we propose the defense mechanism in order to detect sending spam and block it by analyzing the behavior of malware which sends spam and the features of spam.

한국어

스팸메일은 악성코드를 전파시키는 방법 중의 하나로, 사용자가 스팸메일을 열어보고 첨부파일을 실행하도록 유도하기 위하여 사회공학적인 방법이 주로 사용되고 있다. 본 논문에서는 스팸 메일에 첨부된 악성코드에 대하여 행위 분석과 네트워크 트래픽 분석으로 나누어 분석하고, 분석 결과를 기반으로 대응 프레임워크를 제시한다. 해당 악성코드에 대하여 시스템 내에서의 행위 및 네트워크 트래픽을 분석한 결과, 악성코드에 감염된 시스템 내에서 파일 및 레지스트리를 생성하고 사용자의 키 입력 정보를 파일로 기록(키로깅)하는 것으로 나타났다. 또한 쿠키 파일로부터 추출한 이메일 주소들로 스팸메일을 발송하고, 특정 서버와 지속적인 통신 및 또 다른 악성코드를 다운로드하는 행위를 확인하였다. 또한 분석 결과를 바탕으로 스팸메일을 발송하는 악성코드의 행위와 스팸메일의 특징을 분석함으로써 스팸메일 발송을 탐지하고 차단하기 위한 대응 프레임워크를 제시한다.