1. 개요
아래의 그림과 같이 이번에 발견된 스팸 메일의 경우 본문에 링크된 URL을 통해 다운로드 될 것으로 예상되는 gong.html 파일(하기 그림의 하단 적색박스 부분) 이 현재 정상적으로 열리지 않고 있다.
페이스북 채팅창을 이용한 악성파일 유포 사례에 대해 사용자들이 피해를 입지 않기를 바라는 마음으로 이번 글을 게재하는 만큼 하기의 내용을 잘 살펴보고 다시한번 이와 같은 사회공학적 기법의 악성파일 유포에 대해 경각심을 유지하는 시간을 가져보도록 하자.
2. 감염 과정
이번 악성파일은 페이스북 대화창을 통해 확산된다고 알려졌으며, 확산 방법은 하기의 그림과 같이 페이스북 관련으로 위장된 URL의 링크를 전송하여 사용자의 클릭을 유도하는 방식을 취한다.
위 그림과 같이 대화창을 통해 보여지는 해당 URL을 클릭할 경우 하기의 그림과 같이 페이스북으로 위장된 사이트로 이동하게 된다.
해당 사이트는 정상 페이스북 사이트와 유사한 이미지를 사용한 허위 사이트이다. 특이할 만한 사항은 위의 적색박스에 있는 페이스북 로고를 통해 페이스북 메인페이지로 이동이 불가하다는 점이다.
해당 허위 사이트로 이동되면 상기의 그림과 같이 비밀번호 입력과 관련한 경고창을 보여주며, "계속하기" 버튼 클릭을 유도한다. "계속하기" 버튼을 클릭할 경우 하기와 같은 사이트로 이동되며 사진이 옮겨졌다는 문구와 함께 또 다시 "View Photo" 버튼 클릭을 유도한다.
위 그림에서 보여지는 "View Photo"버튼을 틀릭하면 하기의 그림처럼 마치 이미지와 관련된 파일명으로 위장한 악성파일의 다운로드 창을 보여준다.
3. 감염 증상
위의 설명과 같이 다운로드된 악성파일에 감염될 경우 하기의 그림과 같이 자신의 복사본을 숨김 속성으로 윈도우 폴더에 생성하며, 해당 파일은 그림파일과 유사한 아이콘을 가진다.
또한, 하기의 레지스트리 값에 의해 윈도우 시작시 자동으로 함께 실행 되도록 등록된다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "NVIDIA driver monitor"
- 값 데이터 : "c:\\windows\\nvsvc32.exe"
※ 그래픽카드 개발 업체인 NVIDIA와 관련하여 레지스트리 값 이름을 위장한 것이 특징이다.
- 값 이름 : "NVIDIA driver monitor"
- 값 데이터 : "c:\\windows\\nvsvc32.exe"
※ 그래픽카드 개발 업체인 NVIDIA와 관련하여 레지스트리 값 이름을 위장한 것이 특징이다.
해당 악성파일에 감염될 경우 채팅창을 통해 페이스북에 등록된 모든 "친구"들에게 위에서 언급하였던 "페이스북으로 위장된 사이트"로 이동이 가능한 링크를 전송하게 되는 것으로 알려져 있다.
※ 현재는 해당 악성파일이 실행될 경우 Internet Explorer가 실행되면서 유명 소셜 네트워크 서비스(Social Network Service)인 Myspace의 Browse People 페이지에 연결되고 있으니 참고하기 바란다.
또한, 하기의 그림과 같이 특정 웹 사이트와의 통신을 위한 연결 세션을 맺고 있어 추가적인 악성동작이 이루어 질 가능성이 있다.
4. 예방 조치 방법
위와 같이 발신처를 위장하여 스팸 메일을 이용한 사회공학적 기법의 악성파일 유포는 최근 두드러지게 나타나고 있으며, 해당 건과 같이 소셜 네트워크 서비스(Social Network Service)를 악용한 악성파일 유포는 이미 이전에도 발생해 주의를 당부한 바 있다.
[잉카인터넷 보안리포트]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88
때문에 해당 건과 유사한 악성파일 유포 사례는 지속적으로 발생할 가능성이 크며, 이러한 유형의 악성파일 유포로부터 안전하기 위해서는 ▶인스턴트 메신저 이용시 쪽지, 대화창을 유심히 살펴본 후 출처가 불분명한 사이트 링크에 대한 클릭을 자제해야 한다. 또한, ▶출처가 불분명한 이메일의 경우 확인하지 말고 삭제하는 습관을 들여야 하며, 만일 이메일을 열람할 경우 첨부된 파일에 대한 다운로드는 자제해야 한다.
nProtect Anti-Virus 제품군에서는 해당 건과 관련하여 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| ARP Spoofing 악성파일 확산에 따른 예방 조치법 (0) | 2010.12.15 |
|---|---|
| 크리스마스관련 악성파일 유포 해외 보고, 주의 필요! (1) | 2010.12.15 |
| 위키리크스(WikiLeaks)관련 악성파일 유포 해외 보고 주의 필요 (3) | 2010.12.08 |
| 웨스턴 유니온(Western Union)사칭 악성파일 유포 메일 국내 유입 (0) | 2010.12.01 |
| 北, 연평도 포격과 관련한 사이버 위협 대응태세 유지 (0) | 2010.11.24 |