[주의] 미국 연방수사국(FBI)에서 보낸 내용으로 위장된 악성파일

1. 개 요

2011년 5월 초부터 미연방수사국인 "FBI(Federal Bureau of Investigation)에서 발송된 것처럼 교묘하게 위장된 악성 이메일이 발견"되고 있어, 인터넷 사용자들의 각별한 주의가 요망되고 있다.

이메일의 특징은 보낸 사람이  "FBI" 라고 지정되어 있고, 발신지 이메일 주소 역시 fbi.gov 로 조작되어 있다. 수신자가 실제 FBI 측에서 발송한 이메일로 오인하여 첨부되어 있는 압축파일을 열고 실행 할 경우 "악성 파일에 노출되어 감염"되는 위험성이 존재한다.

※ 악성 이메일의 특성

보통 악성파일을 첨부한 이메일 전파수법은 사용자로 하여금 신뢰할 수 있는 조직이나 기관 등에서 발송한 것처럼 위장하기 위해서 다양한 속임수를 쓰는 것이 보편화 되어 있는데, 특징적으로 ▶시기적, 사회적으로 이슈화 되고 있는 내용(사회공학적 기법)이거나 ▶이메일 본문에 웹 사이트 링크가 포함되어 있거나, ▶특정 파일 등이 첨부되어 있는 경우이다. 따라서 위와 같은 조건과 유사한 조건의 이메일을 수신할 경우에는 혹시라도 정보 보안에 위협적인 요소가 포함되어 있지는 않은 지 각별히 유의해서 확인하는 절차나 습관이 필요하겠다.

이번에 보고된 FBI 발신지 위장 형식의 악성 이메일의 내용은 아래와 같고, 관련 내용을 사전에 충분히 숙지하여 둔다면 이와 유사하게 전파되고 있는 악성파일을 미리 인지하거나 미연에 예방하는데 도움이 될 수 있겠다.

2. 악성 이메일 전파 방식

"보낸 사람"의 이메일 주소 중 일부(* 표시)는 숫자이며 매번 가변적으로 표기되고, 영문 내용으로만 이루어져 있다. 한글로 번역된 내용은 이해도를 높히기 위하여 별도로 추가한 사항이다.

보낸 사람 :
FBI (info*****@fbi.gov)

제목 :
You visit illegal websites

당신은 불법적인 웹 사이트들에 방문하였다.

본문 :
Sir/Madam, we have logged your IP-address on more than 40 illegal Websites. Important: Please answer our questions! The list of questions are attached.

우리는 당신의 IP 주소를 40개 이상의 불법적인 웹사이트들에서 확인하였습니다. 중요: 저희의 질문에 대답해 주십시요! 질문 리스트는 첨부하였습니다.

첨부 파일 :
document.zip

==============================================================================================================

 

3. 첨부된 악성 파일

해당 이메일에는 "document.zip" 이라는 이름의 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 "document.exe" 이름의 실행 파일이 포함되어 있다.

"document.exe" 파일은 문서 형식의 파일 처럼 위장시키고 사용자를 속이기 위해서 PDF 문서용 아이콘을 사용하고 있는 것이 특징이다.

4. 감염 증상

사용자가 "document.exe" 파일을 실행하면 악성 파일에 감염이 이루어지게 되며, 악성 파일은 사용자 몰래 특정 웹 호스트로 접속하여 pusk.exe 이름의 유료 결제를 유도하는 사기성 프로그램을 다운로드하고 설치를 하게 된다.

◎ 추가 악성 파일 다운로드
http://*****ntov.com/pusk.exe (일부 주소 * 처리)

 

설치된 사기성 프로그램은 마치 윈도우 복구용 프로그램(Windows Recovery)처럼 위장하고 있으며, 사용자 컴퓨터에 존재하지 않는 가짜 에러 검출과 수정 요구화면을 지속적으로 노출시켜, 사용자로 하여금 불안감을 조성한 후에 소액 치료 결제를 유도하여 금전적인 이득을 취하기 위한 일종의 "사이버 범죄 형태"이다. 

이와 유사한 종류로는 대표적으로 "가짜 백신(Fake Anti-Virus)" 이라는 형태가 가장 많이 유행하고 있는데, 보통 허위로 탐지된 악성파일 감염 경고창 등을 노출시켜 사용자로 하여금 소액 결제를 유도하는 방식인데, 최근에는 이처럼 사용자 컴퓨터에 치명적인 오류 등이 있는 것처럼 거짓 내용을 보여주는 악성 파일 형태가 증가하고 있어 각별한 주의가 필요하다.

[참고 자료]

◆ AVG로 위장한 허위백신 등장에 따른 주의필요
http://erteam.nprotect.com/116

◆ 해외 유명 백신 설치본으로 위장한 악성파일 발견 주의 필요
http://erteam.nprotect.com/142

5. 예방 조치 법

다양한 보안위협으로 부터 사전에 대비하고 안전한 컴퓨터 환경을 지속하기 위해서 아래와 같은 기본적인 보안 수칙을 준수한다면 보안 위협에 쉽게 노출되는 것을 충분히 예방하는 효과를 거둘 수 있다.

[권장 보안 관리 수칙]

◎ 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.
◎ Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.
◎ Firewall, Anti-Virus 등 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.
◎ 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 
◎ 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.
◎ 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.

이번에 발견된 악성파일은 다양한 변종이 지속적으로 유포되고 있다. 잉카인터넷 대응팀에서는 해당 파일에 대해서 실시간 대응체계를 유지하고 있으며, nProtect Anti-Virus 제품군에서는 다음과 같이 진단/치료 기능을 제공하고 있다.

document.exe : Trojan-Downloader/W32.FraudLoad.18432.AY
pusk.exe : Trojan/W32.Agent.510976.AB