허위 백신, HTML 파일이 첨부된 스팸 메일로 유포

2010년 6월 들어서 부터 국내에서 발견되기 시작한 HTML 파일이 첨부된 악의적인 스팸(Spam) 메일들이 최근 들어 다시 국내에서 발견되기 시작하였다.

HTML 파일이 첨부된 악의적인 스팸 메일들은 2010년 6월부터 유명 SNS(Social Network Service) 웹 사이트인 페이스북(Facebook)에서 발송하는 메일로 위장하여 성인 약품 광고 웹 사이트로 접속을 유도하는 사례등이 존재하고있다.

이번에 발견된 HTML 파일이 첨부된 악의적인 스팸 메일들은 다음 이미지와 같은 다양한 형식들이 발견되었으며, 기존에는 성인 약품 광고를 위한 웹 사이트로 연결을 시도하거나 다른 악성코드 감염을 시도하였으나 이번에는 허위 백신을 설치하는 웹 사이트로 연결을 시도하는 점을 특이 사항으로 볼 수 있다.

첫 번째 발견된 형태는 2010년 8월 18일 발견된 Zbot 변형들이 첨부된 악성 스팸 메일과 동일한 형태를 가지고 있으나 첨부 파일이 HTML로 되어 있는 것만 다르다.

두 번째 발견된 형태는 아래 이미지와 같은 형식을 가지고 있으며 메일 제목으로는 "Cancellation Notice"를 가지고 있으며 첨부 파일로는 Cancellation Notice.html (76 바이트)가 존재한다.

세 번째 발견된 형태는 아래 이미지와 동일한 형식이며 메일 제목으로는 "Resume"가 사용되고 첨부 파일 역시 메일 제목과 동일한 resume.html (76 바이트)가 존재한다.

첨부되어 있는 HTML 파일들을 텍스트 편집기로 살펴보게 되면 아래 이미지와 같이 난독화 되어 있는 코드 부분들이 존해하고 있다.

난독화 되어 있는 해당 코드 부분을 풀게 되면 아래 이미지와 같이 특정 시스템에 존재하는 x.html 파일을 웹 브라우저에 의해 브라우징 하도록 되어 있다.

그리고 특정 시스템에 존재하는 해당 x.html을 다운로드 한 후 텍스트 편집기로 살펴보게 되면 아래 이미지와 같이 다시 특정 시스템으로 접속 하도록 되어 있다.

웹 브라우저를 통해 해당 HTML 파일들을 실행하게 될 경우 최종적으로 접속하게 되는 웹 사이트는 아래 이미지와 같이 해외에서 제작된 허위 백신을 설치하는 악성코드를 유포하기 위한 사이트로 연결된다.

위 이미지에서와 같이 허위 시스템 검사가 종료되면 아래 이미지와 같이 antivirus.exe (163,840 바이트) 파일을 다운로드 하도록 유도하나 해당 파일은 해외에서 제작된 허위 백신을 설치하기 위한 악성코드 이다.

이번 다양한 메일 형태로 HTML 파일이 첨부된 악의적인 스팸 메일들과 관련된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

HTML/Shellcode
Win-Trojan/Fakeav.163840.AV

다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.