본문 바로가기
악성코드 정보

사용자 계정 요청 메일로 위장한 Harebot 변형

by 알 수 없는 사용자 2011. 10. 27.
지난 주말과 2010년 4월 5일을 시점으로 하여 특정 업체의 사용자 계정에 대한 문의 요청 메일로 위장한  Harebot 변형이 유포되었다.

이 번에 유포된 악성코드는 다음과 같은 전자 메일 형태를 가지고 있으며 메일 제목에는 "<수신한 메일 주소의 업체명> account notification"를 가지고 있다.

그리고 수신한 메일 주소에서 업체명으로 위장하여 해당 웹 사이트에서 사용하는 사용자 계정이 다른 사람에 의해 사용된 흔적이 발견되어 일시적으로 계정을 사용하지 못하도록 조치하였다는 내용과 함께 첨부된 파일을 실행하라는 내용을 담고 있다.


첨부 파일로는
Instructions.zip(24,521 바이트)가 존재하며 해당 압축 파일의 압축을 풀면 Instructions.exe(29,493 바이트)가 생성된다.  

생성된 Instructions.exe를 실행하면 윈도우 시스템 폴더(c:\windows\system32)에 자신의 복사본을 wuaucldt.exe라는 파일명으로 복사한다. 그리고 윈도우 드라이버 폴더(c:\windows\system32\drivers)에 cdrom.sys를 생성한다.

그리고 추가적으로 랜덤한 포트를 오픈하여 다량의 메일을 발송하며 다른 외부의 시스템으로부터 허위 백신을 다운로드 시도한다.

해당 악성코드에 대해 V3 제품군에서는 다음과 같이 진단한다.

Win-Trojan/Harebot.29493.B
Win32/FakeavRootkit.B

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

댓글