지난 2010년 11월 1일 방송통신위원회에서 사이버위기 "관심" 경보를 발령한지 9일 만인 2010년 11월 10일 해외 보안업체로 부터 "G20 정상회의 관련 내용으로 위장한 악성파일이 등장"했다고 보고되었다.
[ http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ - TrendMicro ]
[ http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ - TrendMicro ]
◆ 역시나 등장한 G20 정상회의 관련 악성파일..
위 그림과 같이 이메일에 첨부되어 있는 링크를 클릭하게 되면 Microsoft Word 문서파일로 위장된 악성파일을 내부에 포함하고 있는 G20IssuesPaper.zip 파일명의 압축파일을 다운로드 하게된다. 해당 악성파일에 감염되면 하기의 설명 및 그림과 같은 추가적인 악성파일을 생성한 후 윈도우 시작 시 마다 함께 실행될 수 있도록 레지스트리에 등록되게 된다.
◎ 감염 시 생성되는 파일
(사용자 임시 폴더)\Wininet.exe
C\RECYCLER\(숫자로 이루어진 임의의 파일명).tmp
◎ 레지스트리 등록값
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : AdobeUpdate
데이터 : "(사용자 임시 폴더)\Wininet.exe"
※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.
(사용자 임시 폴더)\Wininet.exe
C\RECYCLER\(숫자로 이루어진 임의의 파일명).tmp
◎ 레지스트리 등록값
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : AdobeUpdate
데이터 : "(사용자 임시 폴더)\Wininet.exe"
※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.
또한, 악성파일이 실행되게 되면 위 그림과 같이 G20 정상회의와 관련된 문서내용을 출력하여 사용자가 별다른 의심을 하지않도록 위장하는 특징을 가지고 있다.
nProtect Anti-Virus 제품군에서는 위 그림과 같이 현재 보고된 G20 정상회의와 관련한 악성파일에 대해 진단/치료 기능을 제공하고 있다.
또한, (주)잉카인터넷 NSC 대응팀에서는 지난글에서 밝힌바와 같이 방송통신위원회에서 발표한 사이버위기 "관심" 경보 발령과 발맞추어 24시간 비상대응체제를 유지해 혹시 모를 사이버공격에 대비할 예정이다.
[ http://erteam.tistory.com/52 - (주)잉카인터넷 NSC 대응팀 블로그]
사용자들은 위와 같은 정상파일로 위장한 악성파일에 감염되지 않기위해 사용중인 백신을 최신엔진 및 패턴버전으로 유지함과 동시에 실시간 감시 기능을 통해 악성파일의 유입을 차단해야한다. 또한, 수상한 메일의 열람이나 첨부파일 실행은 절대하지 말고 삭제하는 것이 사용자의 PC를 안전하게 지킬 수 있는 길이 될 수 있을것이다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| 국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장 (0) | 2011.03.07 |
|---|---|
| 2011년 3월 3일 국내 주요 웹 사이트 DDoS 공격 발생 (3) | 2011.03.06 |
| 웹하드 서비스 홈페이지들 악성파일 전파 경유지 악용 주의 (3) | 2011.03.05 |
| 영국은행 Lloyds TSB 에서 발송한 것으로 사칭한 악성 피싱 이메일 국내 발견 (0) | 2010.11.12 |
| 안드로이드용 모바일 악성프로그램 FakePlayer 변종 해외 등장! (0) | 2010.10.14 |