‘G20 Issues paper’ 제목의 악성코드 링크된 스팸메일 주의

뉴스 제공

안랩 코스닥 053800

2010-11-10 11:22

서울--(뉴스와이어)--11월 9일, G20 정상회의가 얼마 남지 않은 시점에, 이러한 사회적 이슈를 이용하는 Social Engineering 기법으로 악성코드를 전파시키는 악성 스팸 메일이 발견되었다.

해당 악성코드는 ‘G20 Issues paper’ 라는 제목의 G20 관련 문서가 포함된 메일로 위장하여 전파되며, 메일에 포함된 미국 서버에 존재하는 링크를 클릭 시 MS워드문서로 위장된 악성코드가 담긴 압축파일이 다운로드된다.

현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하다.

엔진버젼: 2010.11.10.00
Dropper/Agent.77980
Win-Trojan/Downloader.25434.C
Dropper/Win32.Agent

해당 악성코드 내부에는 EXE 파일 및 DOC 문서가 포함되어 있다. 따라서 악성코드가 실행이 되면 사용자가 문서파 일을 연 것처럼 착각을 유도하도록 DOC 문서가 실행된다. 그리고 추가로 내부에 포함된 EXE 파일도 같이 실행된다.

아래와 같은 파일이 생성된다.

C:RECYCLER29907718.tmp
C:sampleKorean G20 Development Issue Paper.doc
C:DOCUME~1ADMINI~1LOCALS~1Temp~FO4A.tmp
C:DOCUME~1ADMINI~1LOCALS~1TempWininet.exe
C:DOCUME~1ADMINI~1LOCALS~1Temptst4B.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temptst4C.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temptst4D.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temptst4E.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temptst4F.tmp

추가로 생성되는 파일 중 Korean G20 Development Issue Paper.doc는 위 그림에서 나타나는 문서이다. 그리고 Run 레지스트리에 Wininet.exe 파일을 등록하여 시스템 재부팅 시 자동으로 실행이 되도록 한다.

예방법
1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.

안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.

웹사이트: http://www.ahnlab.com