메일을 정리하다가 요즘들어 부쩍 첨부화일이 붙은 많길래 그중 눈에 띄는 하나를 살펴봤습니다. 본래 첨부화일이 붙은 메일은 아는 사람이 보낸 것이 아니면 열어보지도 않고 바로 삭제해 버립니다. 이유는 놈들이(?) 무슨짓을 할지 모르기 때문입니다.

눈에 띄었던 이유는 간단한 영문 메일인데 도메인 주소가 국내에서 사용되는 "co.kr"이더군요.
이 메일은 메일전송 에러를 가장한 메일입니다.

당연히 임의로 생성한 메일 주소이겠지만 보낸사람의 메일 주소는 "support@soft.sec.samsung.co.kr" 입니다.

메시지 내용은 아래와 같습니다.

첨부화일은 열어보지 않았지만 "message.scr (29.6KB)"스크립트 화일입니다.
아마 이 스크립트 화일을 열면 스팸메일 배포자가 원하는 코드를 레지스트리에 등록하는 것일 겁니다.

이메일 주소는 삼성전자 주소입니다. 과연 삼성전자로 이동하는지 브라우저 주소창에 도메인 주소만 붙여넣어 봤습니다.

결과는 서버를 찾지 못하는 에러페이지가 뜨면서 "PC종합진단 PC닥터와 유해차단 프로그램 이클린"을 설치하겠냐는 ActiveX 보안 경고창이 뜨더군요.

이들 프로그램이 얼마나 잘 진단하고 얼마나 잘 유해차단하는지 사용해본 적이 없을 뿐더러, 현재 사용하고 있는 무료 프로그램으로 만족하고 있으므로 유료 프로그램인 "PC닥터"와 "이클린"을 설치할 이유가 없더군요.

이들 프로그램을 사용자  컴퓨터에 설치할 경우 프로그램 배포자가 일정한 수익을 얻을 수 있기 때문에 스팸메일, 블로그, 웹 사이트, 게시판, 댓글에서의 낚시글 등 수단방법을 가리지 않고 배포에 열을 올립니다. 거의 공해수준이죠.

이와같이 프로그램 설치 동의여부를 물어보는 경우는 점잖은 편에 속하며, 악성들은 동의여부를 묻지않고 설치되었는지도 모르게 설치합니다.

그런데 주소창의 주소가 바뀌어져 있군요. 바뀐 주소는 http://www.soft.sec.samsung.co.kr.net/입니다.

도메인 주소는 앞에서 부터 읽는 것이 아니라 뒤에서 부터 꺼꾸로 읽기 때문에 이 스팸메일을 배포한 사람은 kr.net 도메인 소유자가 되는 것입니다.

"kr.net"의 후이즈는 조회해보니 다음과 같습니다.

"보아스와야긴"은 쿠폰(coupon.co.kr)을 비롯해서 "kr.net", "com.net", "kr.co.kr", "com.co.kr" 등등 좋은 도메인을 많이 가지고 있는 곳입니다.

보유한 대다수의 좋은 도메인을 이와같은 프로그램 배포 또는 수익제휴(아이라이크클릭, 링크프라이스,트래픽스) 등으로 활용하고 있습니다. (아쉬운 부분이죠^^)

"보아스와야긴"은 좋은 도메인을 많이 보유하고 계신만큼 도메인 활용에 의한 트래픽 수익에 이용하셨으면 합니다. 스팸메일은 좀 그렇습니다.

이와같은 경우 다음과 같이 조치하시면 됩니다.