본문 바로가기
악성코드 정보

보안 경고 관련 메일의 워드 문서로 포함된 악성코드

by 알 수 없는 사용자 2011. 10. 27.
2010년 5월 9일 새벽을 즈음하여 해외 보안 업체인 시만텍(Symantec)에서 보내는 것으로 위장한 보안 위협 경보와 관련한 메일에 첨부된 마이크로소프트(Microsoft)의 워드(Word) 문서에 악성코드가 패키지 개체로 포함되어 유포된 사실이 발견되었다.

이번 보안 위협 경보 관련 메일의 첨부 파일로 존재하는 워드 문서에 포함된 악성코드는 아래와 같은 메일 형태의 전자 메일의 첨부 파일로 유포되었다.

해당 메일의 제목은 아래 알려진 제목 중 하나를 사용하며 메일 제목과 다르게 메일 본문에는 제품 사용과 관련한 저작권 위반이 적발 되었으며 2010년 5월 10일까지 회신을 주지 않을 경우 법적인 대응을 하겠다는 내용을 포함하고 있다.

그리고 첨부된 워드 파일을 참고하는 내용으로 해당 워드 파일을 실행 할 것을 유도하고 있다.

* 발신자
rcartwrightio@symantec.com

* 메일 제목
Urgent Security Update
Important Security Patch
Important Security Update
Security Update
IT Security Advisory
Important Worm Patch

* 메일 본문
To whom it may concern,
It has come to our attention that you have made an unauthorized use of my copyrighted work
in the preparation of a work derived therefrom. We have reserved all rights in the Work,
which was first published in 2008, and we have registered the copyright.

The copyrighted images which appear on your web site, are essentially identical to the Work and clearly used
the Work as its basis.
You neither asked for nor received permission to use the Work as the basis for it nor to make or
distribute copies of it. Therefore, we believe you have willfully infringed our rights under 17 USC Section 101,
et seq. and could be liable for statutory damages as high as $100,000.

I demand that you immediately cease the use and distribution of all infringing works
derived from the Work, and all copies of it, and that you deliver to us all unused,
undistributed copies of it, or destroy such copies immediately, and that you desist from
this or any other infringement of my rights in the future. If we have not received an affirmative
response from you by 10/05/2010 indicating that you have fully complied with these requirements,
we will be taking the full legal remedies available to rectify this situation.

Please view the attached file for a copy of the suit documents.

Sincerely,

* 첨부 파일
임의의 문자열.doc

해당 메일에 첨부된 워드 파일을 다운로드 하게 되면 아래 이미지와 같이 임의의 문자열을 가지고 있는 정상적인 214,917 바이트의 워드 파일이다.



해당 워드 파일 자체는 이제까지 알려진 문서 파일의 취약점을 악용하는 악성코드 형태가 아니라 정상적인 파일이다.

그리고 해당 워드 파일을 열어보게 되면 아래 이미지와 같이 파일 내부에 어도비 아크로뱃(Adobe Acrobat) 문서 포맷인 PDF 파일의 아이콘을 가진 파일이 포함되어 있으며 이를 더블 클릭하여 실행할 것을 표기하고 있다.


그러나 해당 워드 문서에 패키지 개체로 포함되어 있는 PDF 파일을 임의로 워드 문서에서 분리하여 확인 해보면 아래 이미지에서와 같이 파일의 시작점(Entry Point)이 401108h인 비주얼 베이직(Visual Basic)으로 제작된 실행 파일이다.


해당 워드 파일에서 표기하고 있는 것과 동일하게 해당 PDF 아이콘을 더블 클릭하게 되면 아래 이미지와 같이 EXE 파일을 실행할 것인가라는 보안 경고 창이 생성된다.


해당 보안 경고 창에서 "실행"을 클릭하게 될 경우에는 임의로 윈도우 시스템에 포함되어 있는 정상 svchost.exe 파일을 실행 한 후 악의적인 코드 일부를 해당 정상 svchost.exe 파일의 메모리 영역에 일부 코드를 삽입하게 된다.

이와 함께 하위 프로세스로 인터넷 익스플로러(Internet Explorer)를 실행 시켜 중국 남부 지방에 위치한 시스템으로 접속을 시도하게 된다.


그리고 실행 중인 해당 윈도우 시스템에서 보안 제품의 프로세스가 발견되면 이를 강제 종료를 시도하며 시스템의 하드웨어 정보, IP 주소, 로그인된 사용자 계정명 등의 사용자 개인 정보들을 수집하게 된다.

이번 워드 문서 내부에 패키지 개체로 포함되어 있는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Dropper/Rtfexe

Win-Trojan/Inject.45584

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

댓글