신년인사로 위장한 악성 스팸메일 주의!

1. 서  론

신년 인사 eCard 관련 메일로 위장하여, 사회 공학(Social Engineering) 기법을 이용한 악성 스팸메일이 유포되고 있어 주의가 요구됩니다.

2. 악성코드 유포 방법 및 증상

최초 "New Year 2011, Greeting you with heartiest New Year wishes, New Year Ecard Notification" 등 과 같은 2011년을 맞이하는 관련 제목으로 메일이 수신됩니다.

해당 메일을 열어보면 아래와 같은 새해 인사 및 관련 eCard 확인을 위해 링크된 URL의 클릭을 유도합니다.

[그림 1] 메일 원문

메일 본문의 URL을 클릭할 경우, 일정 간격으로 다른 URL로 Redirect 됩니다.

처음에는 [그림 2]와 같은 eCard를 볼 수 없다는 메시지와 함께 Flash Player 설치를 위한 링크 클릭을 유도하나, 링크를 통해 다운로드되는 install_flash_player.exe 파일은 해당 악성 스팸메일을 발송하게되는 악성코드 파일입니다. 

[그림 2] Flash Player로 위장한 악성코드 다운로드 링크

아래 그림은 [그림 2]를 통해 다운로드한 파일입니다.

[그림 3] 다운로드한 파일

그리고 일정 시간이 지나면 또 다른 페이지로 Redirect 되며, 연결된 페이지는 아래의 [그림 4]과 같이 표시됩니다. 해당 페이지는 Java 취약점을 이용한 공격이 이루어질 것으로 보이나 현재 연결되지 않아 정확한 증상은 확인되지는 않았습니다.

[그림 4] Java 취약점을 이용한 페이지

다운로드한 install_flash_player.exe 파일을 실행하게 되면, Flash Player의 설치가 아닌 악성 스팸메일을 발송하게 됩니다.

파일 실행시 아래와 같은 파일이 생성됩니다.

C:\WINDOWS\Temp\_ex-68.exe

그리고 해당 파일은 시스템 시작시 재실행되도록 하기 위해 레지스트리에 값을 등록합니다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"SmartIndex"="C:\WINDOWS\Temp\_ex-68.exe"

...

이후 해당 시스템에서 악성 스팸메일을 지속적으로 발송하게 됩니다.

[V3 진단명]

Win-Trojan/Downloader.19968.OD

Win32/Agent.worm.485888

3. 결  론

스팸 메일을 통한 악성코드 유포는 꾸준하게 발견되고 있으며, 이는 다양한 방법의 사회 공학 기법과 결합하여 사용자들을 유혹, 악성코드를 유포하기 위한 방법으로 이용되고 있습니다.

이에 스팸 메일을 통해 전파되는 악성코드 감염을 예방하기 위해서는 항상 하단에 안내드리는 사항을 주의하여 주시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.