1. 개요
올해 6월경 요금명세서 및 쇼핑몰 관련 메일로 위장해서 유포하는 악성코드가 발견되어 그에 대한 내용을 공유하고자 문서를 작성합니다.
2. 위장 메일 유형
메일을 통해 유포되는 악성코드는 평소 전달되는 정상적인 요금명세서 및 쇼핑몰 관련 메일로 위장하고 있으며 ActiveX 형태로 악성코드를 설치하게 끔 하는 형태 입니다. 따라서 주의하지 않는다면 누구나 쉽게 감염될 수 있으며 현재까지 발견된 메일은 아래와 같은 메일이 있습니다.
유형 1) “OO은행 OO카드 2010년06월20일 이용 대금명세서입니다?” 라는 제목의 메일
유형 2) “7월 이용대금 명세서” 라는 제목의 메일
유형 3) 쇼핑몰을 위장한 악성코드 유포 메일
유형 4) “[OOO] 주문하신 상품이 발송되었습니다” 라는 제목의 OOO 쇼핑몰 메일로 위장한 메일
3. 메일 상세 분석
요금명세서 및 쇼핑몰 메일로 위장한 악성코드 유포 메일의 특징은 악성코드를 ActiveX를 이용하여 설치한다는 점입니다. 그리고 기존에 많은 요금 명세서 및 쇼핑몰 메일이 이러한 형태로 발송되고 있으며 보안모듈 역시 ActiveX로 설치되므로 일반 사용자는 악성 여부를 확인하기가 어려워 쉽게 악성코드가 악성코드에 감염이 될 가능성이 높은 형태의 유포방법 입니다.
그럼 악성코드가 어떤식으로 유포되어 어떤기능을 수행하는지에 대해 상세하게 분석해 보도록 하겠습니다. 먼저 전체적인 구조도 입니다.
1. 먼저 첫번째로 불특정 다수에서 요금명세서 및 쇼핑몰 메일로 위장하여 메일을 유포하게 됩니다.
2. 메일을 받은 사용자는 메일에 포함된 링크를 클릭하게 됩니다.
3. 메일 본문을 클릭 하거나 특정 링크 클릭 시 아래와 같은 ActiveX 설치메시지가 나타납니다.
ActiveX 설치를 위한 코드는 아래와 같이 구성되어 있습니다.
4. ActiveX가 정상적으로 실행이 되게 되면 특정 사이트로 접속을 합니다.
5. 특정 사이트에 악성 EXE 및 DLL 파일을 다운로드 하여 사용자의 시스템에 설치가 됩니다.
여기서 다운로드 하는 EXE 및 DLL 파일명은 최초 확인된 파일명은 AD20.EXE, AD20.DLL 이나 이후 비슷한 형태로 [영문자 2자리 + 숫자 2자리] 또는 [영문자 2자리 + 숫자 4자리] 또는 [영문자 4자리] 등 다수의 변종파일이 계속해서 발견되고 있는 상황입니다.
6. 설치된 EXE 및 DLL 파일은 악성 행위를 수행하게 됩니다.
7. 악성행위 중 대표적인 행위는 특정 서버(C&C)에서 명령을 전달 받습니다.
8. 그리고 전달 받은 내용을 토대로 DDOS 기능을 수행하게 됩니다.
특정 서버(C&C)에 접속 형태는 아래와 같은 형태의 인자를 전달하여 XML 포맷의 형태로 명령을 전달받게 됩니다.
1) C&C 서버에 접속하여 명령을 받아오기 위해 요청하는 주소 형태
2) 명령 전달 형태 (XML 포맷)
9. 마지막으로 불특정 다수에게 메일을 발송하여 다시 악성코드를 유포하게 됩니다.
4. 대응 상황
현재 V3 제품군에서는 이와 유사한 형태의 악성코드를 계속해서 모니터링 및 수집중에 있으며 변종이 발견되는대로 엔진에 대응하고 있습니다.
먼저 아래 그래프는 요금명세서 및 쇼핑몰을 위장한 메일로부터 유포되는 악성코드에 대해 안철수연구소 내부적으로 확인된 감염 현황 입니다.
최초 발견은 2010년 6월 3일경에 되었으며 꾸준히 증가하고 있는 추세 입니다. 그리고 해당 악성코드는 현재 V3 제품군에서 아래와 같은 진단명으로 진단하고 있습니다.
5. 예방 방법
이러한 일종의 사회공학적 기법을 이용하여 악성코드를 유포하는 경우 악성 여부를 확인하기가 상당히 어렵습니다. 따라서 이러한 종류의 악성코드로부터 예방을 하기 위해서는 아래와 같은 수칙을 지킨다면 조금이나마 예방을 할 수 있으리라 생각합니다.
올해 6월경 요금명세서 및 쇼핑몰 관련 메일로 위장해서 유포하는 악성코드가 발견되어 그에 대한 내용을 공유하고자 문서를 작성합니다.
2. 위장 메일 유형
메일을 통해 유포되는 악성코드는 평소 전달되는 정상적인 요금명세서 및 쇼핑몰 관련 메일로 위장하고 있으며 ActiveX 형태로 악성코드를 설치하게 끔 하는 형태 입니다. 따라서 주의하지 않는다면 누구나 쉽게 감염될 수 있으며 현재까지 발견된 메일은 아래와 같은 메일이 있습니다.
유형 1) “OO은행 OO카드 2010년06월20일 이용 대금명세서입니다?” 라는 제목의 메일
[그림] OO카드 이용대금 명세서로 위장한 악성코드 유포 메일
[그림] 위 메일에서 [이용대금 명세서 보기] 메뉴를 선택 시 나타나는 화면
유형 2) “7월 이용대금 명세서” 라는 제목의 메일
[그림] 요금 명세서를 위장한 악성코드 유포 메일
유형 3) 쇼핑몰을 위장한 악성코드 유포 메일
[그림] 쇼핑몰을 위장한 악성코드 유포 메일 화면
유형 4) “[OOO] 주문하신 상품이 발송되었습니다” 라는 제목의 OOO 쇼핑몰 메일로 위장한 메일
[그림] OOO 쇼핑몰 메일로 위장한 악성코드 유포 메일 화면
3. 메일 상세 분석
요금명세서 및 쇼핑몰 메일로 위장한 악성코드 유포 메일의 특징은 악성코드를 ActiveX를 이용하여 설치한다는 점입니다. 그리고 기존에 많은 요금 명세서 및 쇼핑몰 메일이 이러한 형태로 발송되고 있으며 보안모듈 역시 ActiveX로 설치되므로 일반 사용자는 악성 여부를 확인하기가 어려워 쉽게 악성코드가 악성코드에 감염이 될 가능성이 높은 형태의 유포방법 입니다.
그럼 악성코드가 어떤식으로 유포되어 어떤기능을 수행하는지에 대해 상세하게 분석해 보도록 하겠습니다. 먼저 전체적인 구조도 입니다.
[그림] 메일을 통해 유포되는 악성코드 구조도
1. 먼저 첫번째로 불특정 다수에서 요금명세서 및 쇼핑몰 메일로 위장하여 메일을 유포하게 됩니다.
2. 메일을 받은 사용자는 메일에 포함된 링크를 클릭하게 됩니다.
3. 메일 본문을 클릭 하거나 특정 링크 클릭 시 아래와 같은 ActiveX 설치메시지가 나타납니다.
[그림] 악성코드 설치를 위한 ActiveX 경고 창
ActiveX 설치를 위한 코드는 아래와 같이 구성되어 있습니다.
[그림] 악성코드 설치를 위한 ActiveX 코드 일부
4. ActiveX가 정상적으로 실행이 되게 되면 특정 사이트로 접속을 합니다.
5. 특정 사이트에 악성 EXE 및 DLL 파일을 다운로드 하여 사용자의 시스템에 설치가 됩니다.
여기서 다운로드 하는 EXE 및 DLL 파일명은 최초 확인된 파일명은 AD20.EXE, AD20.DLL 이나 이후 비슷한 형태로 [영문자 2자리 + 숫자 2자리] 또는 [영문자 2자리 + 숫자 4자리] 또는 [영문자 4자리] 등 다수의 변종파일이 계속해서 발견되고 있는 상황입니다.
6. 설치된 EXE 및 DLL 파일은 악성 행위를 수행하게 됩니다.
7. 악성행위 중 대표적인 행위는 특정 서버(C&C)에서 명령을 전달 받습니다.
8. 그리고 전달 받은 내용을 토대로 DDOS 기능을 수행하게 됩니다.
특정 서버(C&C)에 접속 형태는 아래와 같은 형태의 인자를 전달하여 XML 포맷의 형태로 명령을 전달받게 됩니다.
1) C&C 서버에 접속하여 명령을 받아오기 위해 요청하는 주소 형태
http://www.pa***.com
/v2.0/cmd.php?mac_addr=MAC주소&ver=영문자+숫자
2) 명령 전달 형태 (XML 포맷)
</mailContent>
<mailFileName></mailFileName>
<mailSendTerm>43200000</mailSendTerm>
<mailSendMax>200</mailSendMax>
<mailRepeat>1</mailRepeat>
<CmdServer>http://www.pa****.com/v2.0/cmd.php</CmdServer> // C&C 서버 주소
<CmdServer1>http://www.k***.com/v2.0/cmd.php</CmdServer1> // C&C 서버 주소
<CmdServer2>http://www.k***.com/v2.0/cmd.php</CmdServer2> // C&C 서버 주소
<CmdUpdateTime>30000</CmdUpdateTime>
<delayWindow>10000</delayWindow>
<CntWindow>1</CntWindow>
<ifRandom>1</ifRandom>
</CONFIG>
<AddrInfo>
<URL><![CDATA[http://mail.****.com]]></URL> // DDOS 공격 대상 주소
<HeaderData></HeaderData>
<Content></Content>
<PostData></PostData>
<JSExec></JSExec>
<ifJSRUN>1</ifJSRUN>
<WaitTime>30000</WaitTime>
<CacheDelete>0</CacheDelete>
<fileDown>0</fileDown>
</AddrInfo>
<AddrInfo>
<URL><![CDATA[http://comic.****.com]]></URL> // DDOS 공격 대상 주소
<HeaderData></HeaderData>
<Content></Content>
<PostData></PostData>
<JSExec></JSExec>
<ifJSRUN>1</ifJSRUN>
<WaitTime>30000</WaitTime>
<CacheDelete>0</CacheDelete>
<fileDown>0</fileDown>
</AddrInfo>
.
.
.
[중간 생략]
.
.
.
<ifJSRUN>1</ifJSRUN>
<WaitTime>30000</WaitTime>
<CacheDelete>0</CacheDelete>
<fileDown>0</fileDown>
</AddrInfo>
</root>
<mailFileName></mailFileName>
<mailSendTerm>43200000</mailSendTerm>
<mailSendMax>200</mailSendMax>
<mailRepeat>1</mailRepeat>
<CmdServer>http://www.pa****.com/v2.0/cmd.php</CmdServer> // C&C 서버 주소
<CmdServer1>http://www.k***.com/v2.0/cmd.php</CmdServer1> // C&C 서버 주소
<CmdServer2>http://www.k***.com/v2.0/cmd.php</CmdServer2> // C&C 서버 주소
<CmdUpdateTime>30000</CmdUpdateTime>
<delayWindow>10000</delayWindow>
<CntWindow>1</CntWindow>
<ifRandom>1</ifRandom>
</CONFIG>
<AddrInfo>
<URL><![CDATA[http://mail.****.com]]></URL> // DDOS 공격 대상 주소
<HeaderData></HeaderData>
<Content></Content>
<PostData></PostData>
<JSExec></JSExec>
<ifJSRUN>1</ifJSRUN>
<WaitTime>30000</WaitTime>
<CacheDelete>0</CacheDelete>
<fileDown>0</fileDown>
</AddrInfo>
<AddrInfo>
<URL><![CDATA[http://comic.****.com]]></URL> // DDOS 공격 대상 주소
<HeaderData></HeaderData>
<Content></Content>
<PostData></PostData>
<JSExec></JSExec>
<ifJSRUN>1</ifJSRUN>
<WaitTime>30000</WaitTime>
<CacheDelete>0</CacheDelete>
<fileDown>0</fileDown>
</AddrInfo>
.
.
.
[중간 생략]
.
.
.
<ifJSRUN>1</ifJSRUN>
<WaitTime>30000</WaitTime>
<CacheDelete>0</CacheDelete>
<fileDown>0</fileDown>
</AddrInfo>
</root>
9. 마지막으로 불특정 다수에게 메일을 발송하여 다시 악성코드를 유포하게 됩니다.
4. 대응 상황
현재 V3 제품군에서는 이와 유사한 형태의 악성코드를 계속해서 모니터링 및 수집중에 있으며 변종이 발견되는대로 엔진에 대응하고 있습니다.
먼저 아래 그래프는 요금명세서 및 쇼핑몰을 위장한 메일로부터 유포되는 악성코드에 대해 안철수연구소 내부적으로 확인된 감염 현황 입니다.
[그래프] 현재까지 확인된 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 감염 추이
최초 발견은 2010년 6월 3일경에 되었으며 꾸준히 증가하고 있는 추세 입니다. 그리고 해당 악성코드는 현재 V3 제품군에서 아래와 같은 진단명으로 진단하고 있습니다.
Win-Spyware/Agent.375808.B
Win-Trojan/Mailfinder.366080
Win-Trojan/Mailfinder.367104.B
Win-Trojan/Mailfinder.367104.C
Win-Trojan/Mailfinder.190976.B
Win-Trojan/Mailfinder.188031
Win-Trojan/Agent.366080.BI
Win-Trojan/Agent.366080.BH
Win-Trojan/Ddos.366080
Trojan/Win32.DDoS
Win-Trojan/Mailfinder.366080
Win-Trojan/Mailfinder.367104.B
Win-Trojan/Mailfinder.367104.C
Win-Trojan/Mailfinder.190976.B
Win-Trojan/Mailfinder.188031
Win-Trojan/Agent.366080.BI
Win-Trojan/Agent.366080.BH
Win-Trojan/Ddos.366080
Trojan/Win32.DDoS
[표] 현재 V3 제품군에서 진단하는 진단명
5. 예방 방법
이러한 일종의 사회공학적 기법을 이용하여 악성코드를 유포하는 경우 악성 여부를 확인하기가 상당히 어렵습니다. 따라서 이러한 종류의 악성코드로부터 예방을 하기 위해서는 아래와 같은 수칙을 지킨다면 조금이나마 예방을 할 수 있으리라 생각합니다.
1) 자신에게
해당하지 않는 요금명세서 관련 메일은 열람하지 않도록 합니다.
2) 주문하지 않은 상품에 대한 상품 발송 관련 쇼핑몰 메일은 열람하지 않도록 합니다.
3) 발신자의 이메일 주소가 해당 메일을 보낸 회사가 맞는지 확인을 합니다.
4) 백신을 항상 최신 버전의 엔진으로 유지하도록 합니다.
2) 주문하지 않은 상품에 대한 상품 발송 관련 쇼핑몰 메일은 열람하지 않도록 합니다.
3) 발신자의 이메일 주소가 해당 메일을 보낸 회사가 맞는지 확인을 합니다.
4) 백신을 항상 최신 버전의 엔진으로 유지하도록 합니다.
[표] 요금명세서 및 쇼핑몰 관련 메일을 통해 유포되는 악성코드 예방 수칙
'악성코드 정보' 카테고리의 다른 글
국내 SNS 미투데이를 이용하는 악성코드 종합 분석 (3) | 2010.07.23 |
---|---|
네이트온 악성코드 안철수연구소 대응 현황 (0) | 2010.07.20 |
"Email Policy Violation", "FROM Taylor Wallace" 메일 주의하세요! (0) | 2010.07.15 |
Postal Tracking #영숫자 / Western Union Transfer MTCN: 숫자 (0) | 2010.07.14 |
Ahnlab 프로그램으로 위장한 악성코드 주의! - AhnLaB 레지스터리 최적화 적용파일.exe (0) | 2010.07.12 |
댓글