크리스마스 카드로 위장한 악성코드 국내 등장
[참고 자료] 연말연시와 관련된 신종 악성코드 감염 주의
http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=82
잉카인터넷 시큐리티 대응센터(ISARC)에서는 해당 악성코드에 대한 분석과 함께 치료기능이 포함된 업데이트를 제공할 수 있도록 긴급 대응이 진행 중에 있다.
국내에 유입된 것이 확인된 이번 이메일은 다음과 같이 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있으며, 악성코드가 첨부파일에 압축된 상태로 포함되어 존재한다.
보낸 사람 : e-cards@123greetings.com
메일 제목 : You have received a Christmas Greeting Card!
첨부 파일 : Christmas Card.zip (382,011 바이트)
이메일 본문에는 다양한 플래시 파일이 링크되어 보여질 수 있다.
http://c.123g.us/flash/branded_loader.swf
http://i.123g.us/c/edec_c_newjingle/card/113366.swf
http://i.123g.us/c/edec_c_newjingle/card/113413.swf
http://i.123g.us/c/edec_c_newjingle/card/105278.swf
이메일에 첨부되어 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함되어 있다.
압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태이다.
압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다.
해당 파일이 실행되어 컴퓨터가 감염될 경우 시스템 폴더에 wmimngr.exe, wpmgr.exe 라는 이름의 2개의 파일이 생성된다.
실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.
해당 악성코드들은 nProtect 보안 제품에 치료 기능을 추가할 예정이므로, 인터넷 사용자들은 패턴 업데이트를 항시 최신 버전으로 유지할 수 있도록 설정하고, 실시간 감시 등을 활성화 하는 노력이 필요하다.
잉카인터넷 개요
잉카인터넷은 2000년부터 인터넷 PC 보안 서비스라는 새로운 개념의 보안사업으로 출발해 현재 대한민국을 대표하는 정보보안 강소기업이다. 잉카인터넷의 보안 솔루션 “nProtect(엔프로텍트)”는 우수한 기술력과 서비스 체계를 갖춘 제품으로 안티바이러스, 게임보안, 온라인방화벽 등 다양한 정보보안 서비스를 제공하고 있다. 현재 잉카인터넷은 공공기관, 금융사 및 게임회사 정보보안 부분 시장점유율 1위를 기록하고 있으며, 국내를 넘어 일본, 중국, 미국 등 글로벌 시장 진출을 행하고 있다.
웹사이트: http://www.inca.co.kr
연락처
잉카인터넷 마케팅기획부
이수선화
02-6220-8092
이메일 보내기
-
2016년 7월 13일 10:00
