1. 개요
잉카인터넷 대응팀은 세계보건기구(WHO:World Health Organization)에서 발송한 것처럼 사칭한 악성 이메일을 발견하였다. 해당 이메일은 임신기간 중 인간 면역결핍 바이러스(HIV:Human Immunodeficiency Virus)의 예방 효과를 가진 트루바다(Truvada) 알약에 대한 PDF 문서처럼 아이콘 등을 위장하고 있는 악성파일이다. HIV 란 후천성 면역결핍 증후군인 "AIDS"(Acquired Immune Deficiency Syndrome)를 일으키는 원인 바이러스를 의미한다. 최근 사상 처음으로 에이즈 예방약으로 트루바다가 공식 인증을 눈앞에 둔 상태로 알려져 있고, 미국 식품의약국(FDA) 자문위원회는 AIDS 치료제로 쓰이고 있는 트루바다를 예방약으로 승인하도록 FDA 측에 권고했다고 외신들이 전한 바 있다.
악성 이메일은 WHOupdates@doctor.com 라는 계정명 등으로 발신지를 마치 세계보건기구와 관련된 곳에서 전송된 것처럼 보이도록 위장되어 있고, 제목과 파일명 등은 에이즈 치료제로 알려져 있는 트루바다 알약 효과와 같은 문구로 사용자들을 현혹시키고 있다.
이메일 제목 : effects of HIV prevention pills(TRUVADA) in pregnancy
첨부파일 명 : truvada pills in pregnancy.scr
이메일에 첨부되어 있는 "truvada pills in pregnancy.scr" 파일은 화면보호기 확장명인 SCR(Screen Saver)를 가지고 있지만, 일반적인 실행파일(EXE) 형식이며, 아이콘은 PDF 문서파일처럼 위장하고 있어, 확장명 숨기기 옵션이 설정되어 있는 경우 PDF 문서파일로 오인할 수 있다.
사용자가 해당 파일을 실행할 경우 "Application Data" 하위경로에 임의의 알파벳 문자로 조합된 폴더가 생성되고, 내부에 임의의 문자명의 악성파일이 생성된다.
생성파일은 일명 제우스 봇(Zeus Bot)으로 잘 알려져 있는 Zbot 계열의 악성파일이며, 금융권 이용자들을 표적으로 하는 대표적인 형태이다.
3. 마무리
거듭 강조하지만 무엇보다 사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
2. 악성파일 전파 수법
세계 환경의 날 문서로 위장된 표적형 악성파일 발견
☞ http://erteam.nprotect.com/289
해외 전자 청구서 내용으로 위장된 악성 이메일 국내 전파 중
☞ http://erteam.nprotect.com/289
☞ http://erteam.nprotect.com/289
해외 전자 청구서 내용으로 위장된 악성 이메일 국내 전파 중
☞ http://erteam.nprotect.com/289
악성 이메일은 WHOupdates@doctor.com 라는 계정명 등으로 발신지를 마치 세계보건기구와 관련된 곳에서 전송된 것처럼 보이도록 위장되어 있고, 제목과 파일명 등은 에이즈 치료제로 알려져 있는 트루바다 알약 효과와 같은 문구로 사용자들을 현혹시키고 있다.
이메일 제목 : effects of HIV prevention pills(TRUVADA) in pregnancy
첨부파일 명 : truvada pills in pregnancy.scr
이메일에 첨부되어 있는 "truvada pills in pregnancy.scr" 파일은 화면보호기 확장명인 SCR(Screen Saver)를 가지고 있지만, 일반적인 실행파일(EXE) 형식이며, 아이콘은 PDF 문서파일처럼 위장하고 있어, 확장명 숨기기 옵션이 설정되어 있는 경우 PDF 문서파일로 오인할 수 있다.
사용자가 해당 파일을 실행할 경우 "Application Data" 하위경로에 임의의 알파벳 문자로 조합된 폴더가 생성되고, 내부에 임의의 문자명의 악성파일이 생성된다.
생성파일은 일명 제우스 봇(Zeus Bot)으로 잘 알려져 있는 Zbot 계열의 악성파일이며, 금융권 이용자들을 표적으로 하는 대표적인 형태이다.
3. 마무리
거듭 강조하지만 무엇보다 사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]북핵 해결 전략 내용으로 위장된 HWP 0-Day 공격 발견 (0) | 2012.06.20 |
---|---|
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현 (0) | 2012.06.18 |
[정보]유럽의 주류 판매 업체로 위장한 악성 이메일 (0) | 2012.06.15 |
[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생 (0) | 2012.06.15 |
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (#Update 04) (3) | 2012.06.11 |