1. 개요
2. 악성파일 발견 사례
[Sophos]
IMG0893.zip - Your photo all over Facebook? Naked? Malware campaign spammed out
[nProtect 대응팀 공식 블로그]
[주의]거래개선협회 내용으로 위장한 악성 이메일 국내 유입
아래 화면들은 다양한 형태로 악성파일이 첨부되어 유포되어진 실제 이메일 화면들이고, 영문 제목은 동일하나 본문과 첨부파일 명이 조금씩 다른 경우가 있는 것을 알 수 있다.
● 2012년 05월 04일 금요일 국내 유입 발견
● 2012년 05월 08일 화요일 독일 유입 발견
● 2012년 05월 08일 화요일 국내 추가 유입 발견
이메일에 첨부되어 있는 압축파일(ZIP)은 파일명 자체가 이미지(IMAGE)처럼 위장되어 있고, 압축 내부에도 파일명은 동일하지만 사진파일이 아닌 실행파일(EXE) 확장명의 악성파일이 첨부되어 있다.
ZIP 압축파일을 해제하게 되면 내부에 다음과 같이 악성파일이 존재하는 것을 확인할 수 있고, 사용자가 해당 파일을 실행할 경우 악성파일에 감염되게 된다.
악성파일이 실행되어 감염되면, Windows XP SP3 기준 다음과 같이 악성파일 복사본이 All Users 경로에 생성된다.
레지스트리를 추가하여 재부팅시 자동으로 실행되도록 만든다.
svchost.exe 파일은 TCP/IP 접속을 시도하지만 분석당시 특별한 호스트 연결 내용은 확인되지 않았다. 하지만 이러한 악성파일은 공격자의 다양한 추가 명령에 따라서 부수적인 공격 피해를 입을 수 있는 위험한 형태의 악성파일 종류라 할 수 있다.
3. 마무리
상기 사례와 같이 특정 사진파일을 확인해 보라는 식의 악성파일 전파수법 방식은 매우 고전적이지만 끊임없이 사용되는 경우라 할 수 있다. 아무래도 이용자들의 호기심을 자극하여 악성파일을 실행하도록 유도하는 사회공학기법이 좀더 많은 사용자의 감염을 이끌어 낼 수 있기 때문이다.
인터넷 사용자들은 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 URL 링크 주소 등이 악의적인 내용일 수 있다는 점을 절대로 잊어서는 안된다. 사용자 스스로 이러한 방식의 보안 위협에 피해를 입지 않기 위해서는 항상 주의하고 의심해 보는 습관이 중요하다고 할 수 있다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
2. 악성파일 발견 사례
[Sophos]
IMG0893.zip - Your photo all over Facebook? Naked? Malware campaign spammed out
[nProtect 대응팀 공식 블로그]
[주의]거래개선협회 내용으로 위장한 악성 이메일 국내 유입
아래 화면들은 다양한 형태로 악성파일이 첨부되어 유포되어진 실제 이메일 화면들이고, 영문 제목은 동일하나 본문과 첨부파일 명이 조금씩 다른 경우가 있는 것을 알 수 있다.
이메일 제목에는 영문으로 "FW:Why did you put this photo online?" (번역 "왜 이 사진을 온라인에 공개했나요?")라는 초상권 침해 관련 내용으로 사용자의 열람을 유도하고 있다.
● 2012년 05월 04일 금요일 국내 유입 발견
● 2012년 05월 08일 화요일 독일 유입 발견
● 2012년 05월 08일 화요일 국내 추가 유입 발견
이메일에 첨부되어 있는 압축파일(ZIP)은 파일명 자체가 이미지(IMAGE)처럼 위장되어 있고, 압축 내부에도 파일명은 동일하지만 사진파일이 아닌 실행파일(EXE) 확장명의 악성파일이 첨부되어 있다.
ZIP 압축파일을 해제하게 되면 내부에 다음과 같이 악성파일이 존재하는 것을 확인할 수 있고, 사용자가 해당 파일을 실행할 경우 악성파일에 감염되게 된다.
악성파일이 실행되어 감염되면, Windows XP SP3 기준 다음과 같이 악성파일 복사본이 All Users 경로에 생성된다.
레지스트리를 추가하여 재부팅시 자동으로 실행되도록 만든다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched c:\documents and settings\all users\svchost.exe
SunJavaUpdateSched c:\documents and settings\all users\svchost.exe
3. 마무리
상기 사례와 같이 특정 사진파일을 확인해 보라는 식의 악성파일 전파수법 방식은 매우 고전적이지만 끊임없이 사용되는 경우라 할 수 있다. 아무래도 이용자들의 호기심을 자극하여 악성파일을 실행하도록 유도하는 사회공학기법이 좀더 많은 사용자의 감염을 이끌어 낼 수 있기 때문이다.
인터넷 사용자들은 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 URL 링크 주소 등이 악의적인 내용일 수 있다는 점을 절대로 잊어서는 안된다. 사용자 스스로 이러한 방식의 보안 위협에 피해를 입지 않기 위해서는 항상 주의하고 의심해 보는 습관이 중요하다고 할 수 있다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견 (4) | 2012.05.14 |
|---|---|
| [긴급]CVE-2012-0779 취약점과 한글을 이용한 APT 공격용 발견 (4) | 2012.05.08 |
| [주의]거래개선협회 내용으로 위장한 악성 이메일 국내 유입 (0) | 2012.05.03 |
| [주의]유명 물류 배송을 사칭한 용감한 녀석들! (0) | 2012.04.30 |
| [주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다. (2) | 2012.04.27 |