1. 개 요
잉카인터넷 대응팀은 유럽의 주류 판매 업체에서 발송한것처럼 위장한 악성 이메일을 발견하였다. 해당 악성 이메일은 발송자 주소란에 실제 해당 업체 Denmark branch의 책임자 이메일 주소가 기입되어 있으며, 링크파일 실행을 통해 감염이 이루어지는 것이 특징이다. 또한, 감염이 이루어지면 특정 외산 백신에 대한 강제 종료 및 MSN 등의 특정 인스턴스 메신저 메인 화면을 출력하여 일반 사용자들의 경우 쉽게 현혹되어 악성파일 감염 여부를 인지하기가 어려울 수 있다. 물론 해당 악성파일은 스페인어로 이루어져 있으며, 국내 유입 및 감염 피해 사례는 확인되지 않고 있다.
그러나 최근 이러한 악성 이메일을 통한 악성파일 유포가 빈번한 만큼 일반 사용자들은 이점을 참고하여 이와 같은 유형의 악성 이메일에 현혹되지 않도록 각별한 관심과 주의를 기울일 수 있도록 하자.
2. 유포 경로 및 감염 증상
해당 악성파일은 아래의 그림과 같이 유럽의 주류 판매 업체에서 발송한것 처럼 속인 이메일로 위장하여 첨부파일을 다운로드 하도록 유도하는 형태로 유포가 이루어지며, 감염 시 감염자의 이메일 주소록 수집 등을 통해 2차 유포를 유발하는 경우가 대부분이다.
발신자 주소에 나타나 있는 이메일 계정은 해당 주류 업체의 홈페이지를 통해 Denmark branch의 관리자임을 확인할 수 있으며, 실제 해당 업체를 이용하는 고객의 경우 쉽게 현혹될 수 있다. 아래의 그림은 발신자 주소에 기재된 이메일 계정의 실제 주인공이다.
우선, 해당 악성파일의 전체적인 악성 기능을 요약해 보면 아래와 같다.
- 추가적인 악성파일 다운로드
- 외산 백신(Avira) 강제 종료
- 시작페이지 변경
- 시작프로그램에 악성 링크파일 등록
- 원격데스크톱 활성화
- 작업관리자 비활성화
- 외부 특정 사이트와의 지속적인 통신(상황에 따라 Bot 기능 수행 가능)
- 루트 드라이브의 모든 폴더를 숨김 속성으로 변경 및 기존 폴더명과 동일한 파일명의 링크파일 생성
해당 악성 이메일에 첨부되어 있는 압축 파일을 다운로드하여 압축을 해제하면 아래의 그림과 같이 두개의 lnk 파일이 내부에 포함되어 있는 것을 확인할 수 있다.
- Informacion Importante.lnk (1,778 바이트)
- Mejores Amigos.lnk (1,762 바이트)
아이콘만 봐서는 일반 사용자의 경우 도움말 파일과 메신저 정도로 생각할 수 있으며, 실행할 경우 두가지 링크파일 모두 HTML 응용프로그램 관련 실행 파일인 "mshta.exe"을 통해 추가적인 악성파일에 대한 다운로드 및 실행을 수행할 수 있다. 아래의 그림을 통해 링크파일 내부에 포함된 명령어를 확인할 수 있다.
위와 같이 다운로드 되는 추가적인 악성파일(msnmsgr.tpl)이 특정 명령에 의해 실행되면, 추가적으로 다양한 악성 스크립트 파일 및 추가적인 악성파일들에 대한 다운로드를 진행한다.
이렇게 다운로드되는 악성 스크립트 파일들은 다른 악성 파일들을 다운로드하며, 아래의 그림과 같이 출력되는 MSN 메신저(스페인어 버전)로 위장된 화면을 디스플레이 하기위한 용도 등으로 활용된다.
또한, 이와 동시에 아래와 같은 레지스트리값 등록을 통해 시작페이지 변경, 작업 관리자 비활성화, 원격 데스크탑 활성화, 쉘 스크립트 명령 설정 등의 작업을 수행한다.
해당 악성파일은 이외에도 아래의 일부 특정 명령을 통해 외산 백신(Avira) 및 브라우저 등에 대한 강제 종료 기능을 수행할 수 있으며, 외부 특정 서버와 지속적인 접속을 시도하여 상황에 따라 추가적인 악성파일 다운로드 및 악의적 명령을 받아 수행하는 등 Bot 기능을 수행할 수 있다.
또한, 감염되면 아래의 그림과 같이 루트 드라이브 상에 존재하는 모든 최상위 폴더들을 숨김속성으로 변경하며, 해당 폴더명과 동일한 파일명의 링크파일들을 생성하게 된다.
위 그림과 같이 새롭게 생성된 링크 파일들은 모두 기존의 정상적인 폴더와 동일한 아이콘을 사용하기 때문에 일반 사용자의 경우 별다른 의심 없이 해당 링크 파일을 클릭할 수 있다.
해당 링크파일을 클릭하여 실행하게될 경우 아래의 그림과 같이 특정 명령에 의한 악성파일 실행 기능을 수행할 수 있다.
3. 예방 조치 방법
일반 사용자의 입장에서 위와 같은 악성파일의 최초 유입 경로는 이메일이다. 때문에 이와 같은 악성파일의 감염을 사전에 차단할 수 있는 가장 안전한 방법은 출처가 불분명한 이메일에 대한 열람 및 첨부파일의 다운로드를 자제하는 것이다. 최근 악성파일 유포의 최대 화두로 떠오른 바 있는 APT 공격도 그리 어려운 감염 기법을 가지고 있는 것이 아니라 사용자들을 속여 이메일 열람 및 첨부파일에 대한 다운로드를 유도하는 것에서부터 시작한다.
때문에, 일반 사용자들이 점점 다양해 지고 지능화 되어가고 있는 여러 보안 위협으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력을 기울이는 것이 가장 효과적인 수단이라고 말할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 이와 같은 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현 (0) | 2012.06.18 |
---|---|
[주의]AIDS 치료제 트루바다 내용으로 위장된 악성파일 이메일 (0) | 2012.06.18 |
[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생 (0) | 2012.06.15 |
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (#Update 04) (3) | 2012.06.11 |
[주의]탈북인 인적사항으로 유혹하는 HWP 악성파일 등장 (0) | 2012.06.07 |