1. 개요
- 물류 배송내용처럼 디자인 위장, 악성파일 배송은 덤?
- DHL, FEDEX, UPS 사칭..! 고전적 수법, 유사 악성파일 다수 존재
- ZIP 압축파일 내부에 악성파일 2개! 1+1 서비스?
2. 유포 사례
공격자는 이메일 수신자로 하여금 마치 안전하고 정상적인 내용으로 신뢰하도록 만들기 위해서 치밀하게 조작된 내용을 사용하게 된다. 기본적으로 발신자 명의, 이메일 제목, 첨부파일 이름, 이메일 본문 등 전반적으로 실제로 사용되는 정상적인 내용들처럼 꾸며져 있다.
첨부되어 있는 "UPS-Delivery-Confirmation-Alert_April-2012_T2AD5RZR98.zip" 압축파일을 사용자가 직접 다운로드하여 내부에 포함되어 있는 악성파일을 해제하여 실행할 경우 감염에 노출되게 된다.
특이하게도 첨부 압축 파일에는 보통 1개의 악성파일이 포함된 것과 다르게 2개의 악성파일이 포함되어 있으며, 널리 알려져 있는 제우스 봇(Zbot) 변종 트로이목마이다.
이러한 유사 악성파일에 감염될 경우 사용자의 개인정보 유출 및 또 다른 악성파일 감염 등 다양한 피해를 입을 수 있다.
3. 마무리
인터넷 이용자들은 자주 접할 수 있는 이메일 형식이 악성파일 유포에 악용될 수 있다는 점을 유념해야 하며, 첨부파일에 실행파일(EXE, SCR, COM)형태의 확장명을 가지고 있는 경우 십중팔구 악성파일이라는 점을 잊어서는 안된다. 또한, 문서파일(DOC, TXT, PDF, HWP, XLS, PPT)로도 위장하는 경우도 많으니, 각별한 주의가 필요하다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
- 물류 배송내용처럼 디자인 위장, 악성파일 배송은 덤?
- DHL, FEDEX, UPS 사칭..! 고전적 수법, 유사 악성파일 다수 존재
- ZIP 압축파일 내부에 악성파일 2개! 1+1 서비스?
2. 유포 사례
제우스봇 유니코드 확장자 변조 기법을 이용하여 전파 중
☞ http://erteam.nprotect.com/265
온라인 호텔 예약으로 사칭한 악성파일 해외 발견
☞ http://erteam.nprotect.com/260
☞ http://erteam.nprotect.com/265
온라인 호텔 예약으로 사칭한 악성파일 해외 발견
☞ http://erteam.nprotect.com/260
공격자는 이메일 수신자로 하여금 마치 안전하고 정상적인 내용으로 신뢰하도록 만들기 위해서 치밀하게 조작된 내용을 사용하게 된다. 기본적으로 발신자 명의, 이메일 제목, 첨부파일 이름, 이메일 본문 등 전반적으로 실제로 사용되는 정상적인 내용들처럼 꾸며져 있다.
첨부되어 있는 "UPS-Delivery-Confirmation-Alert_April-2012_T2AD5RZR98.zip" 압축파일을 사용자가 직접 다운로드하여 내부에 포함되어 있는 악성파일을 해제하여 실행할 경우 감염에 노출되게 된다.
특이하게도 첨부 압축 파일에는 보통 1개의 악성파일이 포함된 것과 다르게 2개의 악성파일이 포함되어 있으며, 널리 알려져 있는 제우스 봇(Zbot) 변종 트로이목마이다.
이러한 유사 악성파일에 감염될 경우 사용자의 개인정보 유출 및 또 다른 악성파일 감염 등 다양한 피해를 입을 수 있다.
3. 마무리
인터넷 이용자들은 자주 접할 수 있는 이메일 형식이 악성파일 유포에 악용될 수 있다는 점을 유념해야 하며, 첨부파일에 실행파일(EXE, SCR, COM)형태의 확장명을 가지고 있는 경우 십중팔구 악성파일이라는 점을 잊어서는 안된다. 또한, 문서파일(DOC, TXT, PDF, HWP, XLS, PPT)로도 위장하는 경우도 많으니, 각별한 주의가 필요하다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]초상권 침해 내용으로 유혹 중인 악성파일 국내 발견 (0) | 2012.05.08 |
|---|---|
| [주의]거래개선협회 내용으로 위장한 악성 이메일 국내 유입 (0) | 2012.05.03 |
| [주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다. (2) | 2012.04.27 |
| [주의]성인 동영상으로 위장한 악성파일 기승! (1) | 2012.04.23 |
| [주의]핵안보정상회의 합의문으로 위장된 범국가적 표적공격(APT) 발견 (0) | 2012.04.17 |