2. 유포 경로 및 감염 증상
악성 파일은 국내의 특정 사용자를 타겟으로 지정하고 있으며, 정상적인 이메일 내용과 첨부 파일처럼 보이도록 교묘하게 위장하고 있다. 취약점이 포함되어 있는 엑셀 문서 파일이 실행될 때 사용자 몰래 또 다른 악성 기능을 가진 파일이 설치되도록 해두었다. 또한, 사용자가 눈치채지 못하도록 정상적인 엑셀(xls) 문서 파일 내용 등도 함께 출력하도록 구성되어 있다.
유포에 사용된 이메일 내용은 아래의 화면과 같고, 발신자는 인터넷 무료 웹메일을 사용하였다. ▶수신자의 경우 특정 공무원 이메일 주소로 추정이 되며, 메일 내용 등에는 모두 한글로 표기되어 있다.
이메일에 첨부되어 있는 "주소록.xls" 파일은 보안 취약점을 가지고 있는 Exploit 형태의 악성파일로 사용자가 취약점이 있는 상태에서 실행할 경우 또 다른 악성파일이 사용자 몰래 추가로 설치되게 된다.
"주소록.xls" 파일이 실행되면 다음과 같이 정상적인 주소록 내용 등을 보여주어, 사용자로 하여금 최대한 신뢰를 하도록 만들지만 보안 취약점에 의해서 또 다른 악성파일이 사용자 몰래 감염된다.
보통 이러한 타겟 공격형태는 사용자가 수신할 내용 등에 실제 필요한 내용이나 관련된 용어나 문구 등을 삽입하여, 수신자로 하여금 좀더 쉽게 현혹되고 관심을 가지도록 하는 사회공학적인 기법이 자주 악용된다.
보안취약점이 존재하는 상태에서 "주소록.xls" 파일이 실행되면 정상적인 또 다른 주소록.xls 파일을 설치하고, 그외 tasksger.exe, 6to4vcs.dll 이름의 악성파일들이 설치된다. 이처럼 정상적인 파일도 함께 설치하고 실행해 주는 이유는 사용자로 하여금 해당 이메일을 "최대한 신뢰할 수 있도록 유도"하는 속임수 방식 중에 하나이다.
C:\Documents and Settings\(사용자계정)\Local Settings\Temp\tasksger.exe (악성 파일)
C:\WINDOWS\system32\6to4vcs.dll (악성 파일)
3. 예방 조치 방법
위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 마이크로 소프트사의 오피스군에서 제공하는 상용 어플리케이션 최신 보안 패치를 적용하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.
1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.
2. 출처가 불분명한 이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자재하도록 한다.
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.
4. 인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.
※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면 및 진단 현황
- Trojan-Exploit/W32.Agent.632832
- Trojan/W32.Agent.9728.MV
- Trojan/W32.Agent.19968.PU
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]동영상 재생 플레이어 변조를 통한 DDoS 악성파일 유포 (1) | 2011.11.27 |
|---|---|
| [주의]해외 인터넷 뱅킹 사용자를 대상으로 한 악성파일 발견 (0) | 2011.10.07 |
| [주의]한글 내용을 포함하여 유포되어지는 악성 문서파일 발견 (0) | 2011.09.22 |
| [참고]안드로이드용 Spyeye 악성 애플리케이션 (0) | 2011.09.20 |
| [주의]치료가 까다로운 MBR(Master Boot Record) 변조 악성파일 (0) | 2011.09.19 |