ASEC에서는 2010년 4월 28일 허위 백신을 다운로드하는 Bredolab 변형이 페이스북의 보안팀으로 위장한 메일로 유포 하였다는 소식을 전하 바가 있었다.
이러한 Bredolab 변형이 2010년 5월 7일 오후 애플(Apple)에서 운영하는 아이튠즈(iTunes)의 상품권 메일로 위장하여 유포된 사실이 발견되었다.
이번에 아이튠즈 상품권으로 유포된 Bredolab 변형은 다음과 같은 전자 메일 형식을 가지고 있으며 메일 본문에는 아이튠즈의 50달러 상품권을 받게 되었으니 첨부된 파일을 통해 인증 코드를 확인할 것을 권유하고 있다.
첨부된 iTunes_certificate_(임의의 3자리 숫자).zip(45,753 바이트)의 압축을 풀면 iTunes_certificate_(임의의 3자리 숫자).exe(51,200 바이트)의 파일이 생성된다.
압축을 풀어서 생성한 파일을 실행하게 되면 윈도우 시스템에 있는 정상 svchost.exe 파일을 임의로 실행 시킨 후 해당 프로세스의 메모리 영역에 자신의 코드 일부를 삽입하여 스위스에 위치한 시스템으로 접속을 시도한다.
스위스에 위치한 시스템에 접속이 성공하게 되면 해당 시스템으로부터 다시 미국에 위치한 다른 시스템에서 부터 다른 악성코드 변형을 다운로드 하는 명령을 전달 받고 수행하게 된다.
그리고 코드가 삽입된 정상 svchost.exe 프로세스의 메모리 영역에는 아래 이미지와 같이 해당 악성코드 제작자에 의해 생성된 PDB 정보가 남아 있었다. 해당 PDB 정보에는 생성한 파일이 메일 전송을 위한 악성코드라는 흔적이 제작자에 의해 남겨져 있었다.
최초로 코드가 삽입된 정상 svchost.exe 프로세스는 하위 프로세스로 정상 svchost.exe 파일 4개를 실행 시킨 후 다시 해당 프로세스들의 메모리 영역에 추가적으로 자신의 악의적인 코드들을 삽입하게 된다.
악의적인 코드가 삽입된 정상 svchost.exe 파일들은 독일, 미국, 네덜란드, 캐나다 등에 위치한 메일 서버들을 접속하여 개별적으로 대량의 메일 전송을 시도하게 된다.
악의적인 코드가 삽입된 정상 svchost.exe 파일들은 다시 악성코드가 첨부된 동일한 형태의 전자 메일들을 대량으로 발송하게 된다.
이렇게 아이튠즈 상품권 메일로 위장한 Bredolab 변형과 다운로드 되는 다른 악성코드 변형들은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Bredolab.51200.D
Win-Trojan/Sasfis.20992.L
이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.
1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.
2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.
3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.
4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
5. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
'악성코드 정보' 카테고리의 다른 글
| 해외에서 발견된 야후 메신저로 전파되는 악성코드 (0) | 2011.10.27 |
|---|---|
| 보안 경고 관련 메일의 워드 문서로 포함된 악성코드 (0) | 2011.10.27 |
| 구글 그룹스 서비스를 이용해 허위 백신 유포 (0) | 2011.10.27 |
| 트위터 메일로 위장한 성인 약품 스팸 메일 (0) | 2011.10.27 |
| 다시 등장한 페이스북 관리자로 위장한 Bredolab 변형 (0) | 2011.10.27 |
댓글