1. 개 요
2. 감염 경로 및 증상
하기의 그림과 같은 이메일을 통해 유포되고 있으며, "Udate your Windows"라는 제목을 가지고 있다.
또한, 메일 본문 내용을 살펴보면 첨부된 파일이 마치 윈도우 업데이트 관련 파일인 것 처럼 위장되어 있으며, 업데이트를 위해 파일에 대한 다운로드 및 실행을 유도하고 있다. 해외 보안 업체에 따르면 위 그림의 적색박스에서 보여지듯 Microsoft 소속의 실제 연구원 이름을 도용하고 있다고 한다.
첨부된 악성파일을 다운로드 하면 위 그림과 같은 ZIP 형태의 압축파일을 다운로드 받게 되며, 압축해제 시 동일한 파일명을 가지는 exe 파일을 확인할 수 있다. 해당 악성파일은 정상적인 윈도우 업데이트 관련파일과 유사한 파일명을 가지는 특징을 보인다.
해당 파일을 실행할 경우 하기와 같이 자신의 복사본 및 특정 파일이 숨김 속성으로 생성되며, 레지스트리 값을 수정하여 사용자들이 발견하기 힘들도록 처리한다. 또한, 현재 해당 악성파일 감염으로 인한 특별한 피해 사례는 보고되지 않고있다.
3. 예방 조치 방법
이번에 보고된 이메일을 통한 악성파일 유포 건은 발신처 및 메일 본문의 내용을 정상적인 것 처럼 위장해 사용자를 속여 첨부 파일에 대한 다운로드 및 실행을 유도하는 사회공학적 기법을 악용한 사례이다.
이러한 사회공학적 기법을 악용하는 악성파일 유포로부터 안전하기 위해서는 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 유지해 사용하는 것이 중요하며, ▶발신처가 불분명한 메일의 열람이나 첨부 파일에 대한 다운로드를 자제하는 것은 물론 ▶출처가 신뢰할 수 있는 기관 등이라 해도 첨부 파일에 대한 다운로드는 신중을 기하는 사용자 스스로의 주의가 필요하다. 또한, ▶Microsoft에서는 윈도우에 대한 업데이트를 진행할 시 절대로 이메일 발송 등을 통해 진행하는 일은 없으니 이점에 유의하도록 해야 한다.
nProtect Anti-Virus 제품군에서는 이번에 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.
참고 : [Fake Microsoft security update spreads Autorun worm]
http://nakedsecurity.sophos.com/2011/01/04/fake-microsoft-update-spreads-worm/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29
http://nakedsecurity.sophos.com/2011/01/04/fake-microsoft-update-spreads-worm/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29
2. 감염 경로 및 증상
하기의 그림과 같은 이메일을 통해 유포되고 있으며, "Udate your Windows"라는 제목을 가지고 있다.
또한, 메일 본문 내용을 살펴보면 첨부된 파일이 마치 윈도우 업데이트 관련 파일인 것 처럼 위장되어 있으며, 업데이트를 위해 파일에 대한 다운로드 및 실행을 유도하고 있다. 해외 보안 업체에 따르면 위 그림의 적색박스에서 보여지듯 Microsoft 소속의 실제 연구원 이름을 도용하고 있다고 한다.
첨부된 악성파일을 다운로드 하면 위 그림과 같은 ZIP 형태의 압축파일을 다운로드 받게 되며, 압축해제 시 동일한 파일명을 가지는 exe 파일을 확인할 수 있다. 해당 악성파일은 정상적인 윈도우 업데이트 관련파일과 유사한 파일명을 가지는 특징을 보인다.
해당 파일을 실행할 경우 하기와 같이 자신의 복사본 및 특정 파일이 숨김 속성으로 생성되며, 레지스트리 값을 수정하여 사용자들이 발견하기 힘들도록 처리한다. 또한, 현재 해당 악성파일 감염으로 인한 특별한 피해 사례는 보고되지 않고있다.
※ 감염 시 생성파일
(드라이버 루트)\SecurityUSB.2.8.exe (217,600 바이트)
(드라이버 루트)\boot.inf (43 바이트)
※ 레지스트리 값 수정
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
값 이름 : "Hidden"
값 데이터 : 0
※ 참고 사항
(드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\)
(드라이버 루트)\SecurityUSB.2.8.exe (217,600 바이트)
(드라이버 루트)\boot.inf (43 바이트)
※ 레지스트리 값 수정
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
값 이름 : "Hidden"
값 데이터 : 0
※ 참고 사항
(드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\)
3. 예방 조치 방법
이번에 보고된 이메일을 통한 악성파일 유포 건은 발신처 및 메일 본문의 내용을 정상적인 것 처럼 위장해 사용자를 속여 첨부 파일에 대한 다운로드 및 실행을 유도하는 사회공학적 기법을 악용한 사례이다.
이러한 사회공학적 기법을 악용하는 악성파일 유포로부터 안전하기 위해서는 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 유지해 사용하는 것이 중요하며, ▶발신처가 불분명한 메일의 열람이나 첨부 파일에 대한 다운로드를 자제하는 것은 물론 ▶출처가 신뢰할 수 있는 기관 등이라 해도 첨부 파일에 대한 다운로드는 신중을 기하는 사용자 스스로의 주의가 필요하다. 또한, ▶Microsoft에서는 윈도우에 대한 업데이트를 진행할 시 절대로 이메일 발송 등을 통해 진행하는 일은 없으니 이점에 유의하도록 해야 한다.
nProtect Anti-Virus 제품군에서는 이번에 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| ZeuS 변종 Kneber 봇넷의 백악관 사칭 이메일을 통한 유포 주의! (0) | 2011.01.07 |
|---|---|
| Adobe Flash Player의 정상 설치 파일명으로 위장한 허위 보안 프로그램 (0) | 2011.01.07 |
| 페이스북(Facebook) 통한 스팸기능의 어플리케이션 유포 주의! (0) | 2011.01.04 |
| 신년 인사와 관련하여 스팸메일을 통한 악성파일 유포 사례 (0) | 2010.12.31 |
| 크리스마스 관련 내용으로 악성파일을 첨부한 이메일 해외 발견 (1) | 2010.12.23 |