본문 바로가기
악성코드 정보

감염시 광고성스팸메일을 대량발송시키는 악성코드 주의!

by 알 수 없는 사용자 2010. 7. 7.
오늘 spamer, spambot 등으로 불리는 광고성스팸메일을 뿌리는 악성코드에 상당수의 PC가 감염된 것이 확인되어 관련 내용을 안내해드립니다.

이 악성코드는 아래와 같이 wpv(숫자).exe 파일명으로 퍼져나가고 있습니다.

[사용된 파일이름]
wpv061278400375.exe
wpv791278399429.exe
wpv281278399926.exe
wpv631278400263.exe
wpv621278399510.exe
wpv431278399382.exe
wpv371278400097.exe
wpv511278400048.exe
wpv021278399804.exe
wpv541278400197.exe
wpv091278399986.exe


파일명으로 볼때 Bredolab 의 변종인 것으로 보이네요.

위 악성코드가 실행되면, 아래처럼 explorer.exe 에 ADS형태로 자신을 복사합니다.

C:\WINDOWS\explorer.exe:userini.exe
 
또한 Run 레지스트리에 등록하여 부팅시 악성코드가 실행되게 합니다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini                                                                           "C:\WINDOWS\explorer.exe:userini.exe" 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini                                                                                             "C:\WINDOWS\explorer.exe:userini.exe"

악성코드가 실행되면 아래화면과 같이 smtp(tcp/25번포트) 로 스팸메일을 발송합니다.



발송되는 메일은 아래와 같습니다. 많이 보던 화면일수도 있겠네요 :)


메일의 그림을 클릭하면 접속되는 페이지 역시 광고(성인약품)페이지입니다.



프로세스 익스플로러 로 보시면 userini.exe 가 explorer.exe 에 붙어서 동작중인 것을 보실 수 있습니다.


[악성코드 삭제방법]

V3Lite (www.v3lite.com) 와 같은 백신으로 검사하셔서 치료하시거나(진단명 Win-Trojan/Spambot.숫자)


gmer로 간단하게 제거하실 수 있습니다.


c:\windows\explorer.exe:userini.exe 를 찾아 Delete 를 누르고 재부팅 해주시면 됩니다.


[악성코드 예방법]

아래의 보안 10계명을 지켜, 악성코드로 부터 자신의 정보를 안전하게 지키시기 바랍니다.

PC 보안 10계명

 
1.
윈도 운영체계는 최신 보안 패치를 모두 적용한다

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다


3.
해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.


4.
웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서비스를 이용해 예방한다.


5.
웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.


6.
이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.


7.
메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.


8. P2P
프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.


9.
정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.


10.
중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

댓글