페이스북 암호 변경 메일로 위장한 악성코드 유포

2011년 1월 26일, 유명 소셜 네트워크 서비스(SNS, Social Network Service) 중 하나로 국내에서도 많은 사용자들을 보유하고 있는 페이스북(Facebook)에서 보내는 메일로 위장하여 악성코드 유포를 시도한 사례가 발견되었다.

이 번에 발견된 페이스북으로 위장한 악성코드가 첨부된 메일은 2010년 4월에도 발견되었던 사례가 있었던 만큼 페이스북 관련된 메일을 수신하는 경우에는 각별한 주의가 필요하다.

금일 유포된 페이스북에서 보내는 메일로 위장한 악성코드가 첨부된 메일은 아래 이미지에서와 같이 "Facebook Service. Your new password! ID<5자리 숫자>"과 같은 제목을 가지고 있다.

그리고 해당 메일 형식은 메일 본문 내용은 동일하나 다음과 같은 메일 제목들이 추가적으로 사용되고 있다.

Facebook Support. A new password has been changed. ID<3자리 숫자>

Facebook Service. Your account has been blocked! ID<3자리 숫자>

Facebook Service. Your password is changed. ID<3자리 숫자>

Your facebook password has been changed. NR<4자리 숫자>

Facebook. The new password to your account. NR<5자리 숫자>

Facebook Service. A new Password is sent you! ID<4자리 숫자>

Facebook Office. Personal data has been changed! ID<5자리 숫자>

메일 본문에는 페이스북 서비스팀에서 발송하는 것이며 사용하는 페이스북 계정이 스팸 메일 발송에 사용되고 있어서 페이스북에서 임시로 암호를 변경하였다는 내용을 담고 있다.

그리고 첨부 파일로는 "Facebook_details_ID<숫자 5자리>.zip(20,699 바이트)"과 같이 ZIP으로 압축된 파일이 존재하며 압축을 풀게 되면 "Facebook_details.exe(24,576 바이트)"가 생성된다.

생성된 해당 파일을 실행하게 되면 아래와 같이 "document.doc" 파일이 열리게되며 해당 워드(Word) 문서에는 페이스북 로그인 아이디와 암호가 기록되어 있다. 그러나 해당 파일은 실행된 악성코드에 의해 러시아에 위치한 특정 시스템에서 다운로드 된 정상적인 워드 파일이다.

실행된 "Facebook_details.exe(24,576 바이트)" 파일은 윈도우(Windows) 시스템에 존재하는 정상 시스템 파일인 svchost.exe를 실행시켜 해당 파일의 특정 메모리 영역에 자신의 코드를 덮어쓰게 된다.

그리고 사용자 계정의 임시 폴더(Temp)에 1B.tmp(78,848 바이트)와 1D.tmp(62,976 바이트)를 생성하고 그 중 1B.tmp(78,848 바이트)는 다시 윈도우 시스템 폴더(C:\Windows\Sytem32)에 실질적인 악성코드가 첨부된 메일 발송 기능을 수행하는 aspimgr.exe(64,512 바이트)를 생성하게 된다. 그리고 해당 파일을 "Microsoft ASPI Manager"라는 윈도우 서비스로 등록하여 시스템이 재부팅 되더라도 자동 실행하도록 설정하게 된다.

그리고 윈도우 시스템에 존재하는 정상 파일인 spoolsv.exe의 특정 메모리 영역에 자신의 코드 일부를 덮어쓴 후 explorer.exe와 winlogon.exe 을 삭제하고 동일한 파일명으로 생성하게 된다.

추가적으로 감염된 시스템에 존재하는 FTP 서버의 주소와 로그인 정보들이 존재한다면 이를 수집하여 러시아에 위치한 특정 시스템으로 전송하게 된다.

이 번 페이스북에서 전송하는 메일로 위장하여 유포된 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Zbot.24576

Win32/Danmec.worm.64512

이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.