최신 보안 동향

크리스마스관련 악성파일 유포 해외 보고, 주의 필요!

TACHYON & ISARC 2010. 12. 15. 10:19

1. 개 요


크리스마스와 관련해 스팸 메일을 통한 악성파일 유포 사례
가 해외시각으로 2010년 12월 13일 스팸 메일 등과 관련한 보안 전문 업체의 블로그를 통해서 보고되었다. 현재까지 국내에서 해당 스팸메일의 유입 및 피해 사례는 보고되지 않았지만, 크리스마스에 즈음해서 관련한 보안 이슈가 발생할 수 있는 만큼 해당 건과 같은 스팸 메일에 주의해야 할 것 같다.

[“The Snow Fairy can bring you good fortune”… and malware too]

출처 : http://blog.mxlab.eu/2010/12/13/the-snow-fairy-can-bring-you-good-fortune-and-malware-too/

자, 그럼 해당 스팸 메일에 대해 살펴보도록 하자.

2. 감염 과정

해외 유명 각종 카드 등의 판매 업체인 Hallmark에서 발송한 이메일로 위장된 스팸 메일의 형태를 띠고 있으며, 해당 이메일에 악성파일을 첨부하여 다운로드 및 실행을 유도해 감염을 유발하는 사회공학적 기법을 사용하고 있다.

출처 : http://blog.mxlab.eu/2010/12/13/the-snow-fairy-can-bring-you-good-fortune-and-malware-too/

메일의 제목은 위 그림에는 정확히 나와 있지 않지만 "1ste Christmas Card"로 되어 있으며, 하기와 같은 메일 본문 내용이 첨부되어 있다.

"The Snow Fairy can bring you good fortune for one whole year.
May YOU be blessed by her good deeds…
You must pass the Snow Fairy to 7 people within 60 seconds to receive your one year blessing…. HURRY!”

또한, ZIP 파일 형태의 압축파일이 메일에 첨부되어 있으며, 하기의 그림과 같이 내부에 압축 파일명과 동일한 이름을 가지는 exe 파일이 존재한다.

3. 감염 증상

다운로드된 압축파일을 압축 해제한 후 내부에 포함된 SnowFairy.exe 파일이 실행되면 하기와 같은 경로에 특정 파일들을 생성한다.

[ 생성파일 ]

(윈도우 폴더)\임의의 파일명.dll (90,112 바이트)
(윈도우 시스템 폴더)\adobe66.exe (82,432 바이트)
(윈도우 시스템 폴더)\adobe91.exe (90,112 바이트)
(윈도우 시스템 폴더)\adobeAIM.exe (607,744 바이트)

[ 참고사항 ]

 - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. 

 - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

또한, 하기와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염, 윈도우 방화벽 우회 등의 증상을 유발한다.

 윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

 - 값 이름 : "Hxudazoveceb"
 - 값 데이터 : "rundll32.exe  "(윈도우 폴더)\kbdrut.dll",Startup"

 - 값 이름 : "Adobe Updater 5.2"
 - 값 데이터 : "(윈도우 시스템 폴더)\AdobeAIM.exe"

※ Adobe Update 관련 레지스트리 값으로 위장하는 것이 특징.

 윈도우 방화벽 우회를 위한 레지스트리 값 등록

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 - 값 이름 : "(윈도우 시스템 파일)\AdobeAIM.exe"
 - 값 데이터 : (윈도우 시스템 파일)\AdobeAIM.exe:*:Enabled:Explorer

[ 참고사항 ]

 - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. 

 - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

현재까지 해당 악성파일로 인한 피해 사례는 특별히 보고되지 않고 있으나, 하기의 그림과 같이 지속적인 외부 사이트로의 접근을 시도하고 있어 다른 악성파일 다운로드를 비롯한 추가적인 감염 증상을 유발할 수 있을 것으로 추정된다.


4. 예방 조치 방법

크리스마스와 관련해서는 연례행사처럼 매년 보안 이슈가 발생하였다. 또한, 최근의 악성파일 유포 동향으로 미루어 보아 이러한 사회공학적 기법을 이용한 스팸 메일 형태의 악성파일 유포는 아주 일반적인 사례가 되고 있으며, 그로 인해 이전에 게재한 글과 같이 이러한 유형의 악성파일 유포는 앞으로도 끊임없이 출현할 가능성이 매우 크다.

[크리스마스 카드로 위장한 악성코드 국내 등장]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=83

[연말연시 출현 가능한 악성파일의 유포 사례와 대비]
http://erteam.nprotect.com/65

[2010년 주요 보안 이슈 정리 및 2011년 보안 이슈 전망]
http://erteam.nprotect.com/86

이러한 사회공학적 기법을 이용하는 스팸 메일 형태의 악성파일 유포로부터 안전하기 위해서는 거듭 당부하지만, 항상 ▶출처가 불분명하거나 신뢰할 수 없는 이메일은 열람하지 말아야 하며, ▶이메일에 첨부된 파일을 다운로드 할 때에는 백신을 이용한 사전검사 등의 주의를 기울여야 한다. 또한, 신뢰할 수 있는 백신제품을 사용하길 권하며 ▶사용 중인 백신은 항상 업데이트를 통해 최신 엔진 및 패턴 버전을 유지할 수 있도록 해야 한다.

nProtect Anti-Virus 제품군에서는 이번에 보고된 크리스마스 관련 악성파일에 대해 하기와 같이 진단/치료 기능을 제공하고 있다.