7월 이용대금 명세서를 위장한 악성코드 유포

2010년 6월 23일 BC카드 이용대금 명세서"로 위장한 악성코드가 이메일로 유포되어 네어버 특정 서버로 트래픽을 유발한 사건이 있었다. 금일 이와 유사한 형태의 악성코드가 새롭게 유포된 사실이 확인되었다.

2010년 7월 6일 유포된 악성코드는 지난 번과 유사한 형태로 "7월 이용대금 명세서" 란 제목의 메일로 유포되었으며 아래 이미지와 같이 메일 본문에는 신용카드 이용대금 명세서와 유사하게 제작되어 있지만 실제로는 악성코드를 PC에 감염시키기 위해 악의적으로 제작된 메일이다.

사용자가 해당 명세서 내용을 확인하고자 메일 본문에 존재하는 "이용대금 명세서 현황"을 클릭하면 "KProtect 키보드 보안 프로그램"을 설치하게끔 유도하고 있다.

현재 카드사로 위장된 웹 사이트에서는 아래 이미지에서와 같이 엑티브엑스 설치와 함께 특정 시스템에 존재하는 다른 파일들이 CAB 파일과 함께 동반 설치되도록 제작 되어 있었다.

해당 FA2010.exe (366,592 바이트) 파일이 정상적으로 실행이 되면 외부에 존재하는 다른 시스템으로 감염된 시스템의 맥어드레스(MAC Address) 정보를 전송하고 공격자에 의해 제작된 XML 포맷으로된 공격 및 메일 유포 명령을 수신하게 된다.

하지만 지난 2010년 6월 23일과는 달리 현재 C&C 서버에서는 공격 대상 목록을 포함하지 않고 있어 실제 트래픽을 유발하지는 않았을 것으로 보고 있다.

또한 현재까지 총 7대 PC에서만 진단로그가 확인되고 있어 확산이 되고 있지 않은 상태로 판단된다. 그러나, 해당 악성코드 유포 사이트 및 C&C 서버가 아직 접속이 가능한 상태라 이후 확산 추이를 지켜볼 필요가 있으며 XML을 통한 공격 명령이 언제 생성될 지 모름으로 주의가 필요하다.

현재 V3 제품군에서는 Win-Trojan/Mailfinder.366592와 Win-Trojan/Mailfinder.190976 진단명으로 해당 악성코드들에 대한 진단 및 치료가 가능하다.

특히 해당 악성코드는 2010년 6월 23일에도 이와 유사한 형태의 이메일로 유포를 한 사례가 존재함으로 한국어로 된 메일이라고 하더라도 메일의 발신인이나 메일의 내용들에 대해 세심하게 살펴보는 각별한 주의가 필요하다.