HTML 파일이 첨부된 전송 실패 메일로 위장한 스팸

한국시각으로 2010년 7월 4일 오전부터 메일 수신자가 과거에 발송한 메일이 전송 실패되어 반송된 메일로 위장하여 HTML 파일이 첨부된 악의적인 스팸 메일이 한국 내에 유포되었다.

이  HTML 파일이 첨부되어 유포된 전송 실패 메일로 위장한 스팸 메일은 2010년 6월 15일 ASEC 블로그를 통해 이미 언급되었던 HTML 파일이 첨부된 페이스북으로 위장한 메일과 유사한 형태로 제작되어 유포된 것으로 추정된다.

유포된 전송 실패 메일로 위장한 스팸 메일은 아래 이미지에서와 같이 "Delivery Status Notification (Failure)"라는 메일 제목을 사용하여 일반적으로 많이 접하게 되는 전송 실패 메일과 유사한 형태를 가지고 있다.

메일 본문에는 특정 수신인에게 발송한 메일이 전송 실패하여 반송되었다는 내용을 가지고 있으며 첨부 파일로는 Delivery Status Notification (Failure).html (3,551 바이트)라는 HTML 파일이 첨부되어 있다.

이러한 HTML 파일이 첨부된 형태는 과거 일반적으로 ZIP이나 실행 가능한 파일(EXE)이 첨부된 것과 다르게 보안 제품을 우회하거나 탐지하기 어렵도록 할 목적으로 제작된 것으로 추정된다. 그리고 첨부된 HTML 파일 역시 아래 이미지에서와 같이 보안 업체에서 분석하기 어렵도록 난독화 처리 되어 있는 것이 또 다른 특징으로 볼 수 있다.

첨부된 Delivery Status Notification (Failure).html (3,551 바이트)이 실행 되면 사용하는 웹 브라우저(Web Browser)를 통해 특정 웹 사이트로 접속하도록 되어 있으며 해당 웹 사이트에 존재하는 index3.html 파일이 브라우징하도록 되어 있다.

해당 웹 서버에 존재하는 index3.html 파일은 크게 2가지로 그 중 첫번재는사용자에게 아래 이미지와 같이 기존 다른 스팸 메일에서 익히 보아 왔던 성인 약품 광고 웹 사이트로 연결하는 기능을 수행하게 된다.

그리고 다른 한 가지는 현재 데이터사이즈(Datasize)가 0 으로 처리되어 테스트 당시에는 아무런 동작을하지 않도록 되어 있으나 과거의 사례를 보았을 경우, 취약점을 악용하는 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF 또는 개인 정보 유출을 노리는 다른 악성코드 감염을 시도 할 것으로 추정된다.

이번 전송 실패 메일로 위장한 스팸 메일로 위장하여 유포되 HTML 파일은 V3 제품군에서 다음과 같이 진단한다.

HTML/Redirect

이렇게 다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.