2011년 3월 11일 오후 2시 46분 이웃 나라인 일본에 유래 없는 대지진이 발생하여 수 많은 인명 피해와 큰 규모의 재산 피해가 발생한 사실이 언론 등을 통해 알려지게 되었다. 현재에도 원자력 발전소의 폭팔로 방사선 노출 등의 심각한 문제가 야기 될 수 있어 일본의 대지진에 대해 전 세계적으로 높은 관심을 보이며 뉴스 매체와 인터넷 뉴스 매체 등을 통해 많은 정보들을 접하고 있다.
이렇게 일본 대지진과 같이 전 세계적으로 많은 관심이 있었던 사건들을 악용하여 악성코드와 같은 보안 위협들을 유포하였던 다양한 사례들로는 다음들이 존재한다.
2010년 3월 김연아 선수의 동계 올림피 피겨 우승 소식을 악용한 악성코드 유포
2010년 3월 남아공 월드컵 관련 이메일로 위장해 악성코드 유포
2010년 3월 천안함 침몰 관련 기사로 위장해 악성코드 유포
2010년 3월 러시아 지하철 연쇄 폭팔 사고를 악용한 악성코드 유포
2010년 4월 맥아피(McAfee) 오진 사고를 악용한 악성코드 유포
2010년 5월 팩맨(Packman) 30주년 기념을 악용한 악성코드 유포
2010년 10월 스턱스넷(Stuxnet) 악성코드 동영상으로 위장해 악성코드 유포
이렇게 전 세계적으로 큰 관심을 유발하였던 사건, 사고들이 발생할 때마다 이를 악용한 악성코드와 같은 다양한 보안 위협들이 제작 및 유포되었으며 이번 일본 쓰나미(TSUNAMI)와 대지진을 악용한 보안 위협들이 제작 및 유포 되었다.
이 번 일본 쓰나미와 대지진을 악용해 유포되었던 보안 위협들로는 트위터(Twitter)와 페이스북(Facebook)과 같은 소셜 네트워크 서비스(Social Network Service)의 발달로 트위터와 페이스북 메시지의 단축 URL(URL Shortening)을 악용하여 유포된 허위 백신과 피싱(Phishing) 등이 발견 되었다.
그리고 블랙햇 SEO(BlackHat Search Engine Optimization) 기법을 악용해 구글(Google) 검색 엔진으로 일본 쓰나미와 대지진 관련 기사 등을 검색 할 경우, 허위 백신을 설치하는 악의적인 웹 사이트로 접속을 유도하는 사례도 발견 되었다.
이러한 사례외에도 취약한 마이크로소프트(Microsoft) 워드(Word) 문서를 이메일에 첨부하여 불특정 다수에게 대량으로 유포한 사례도 발견되었다.
이 번에 발견된 취약한 워드 문서들은 모두 이메일의 첨부 파일로 유포되었으며 아래 이미지와 같은 파일명을 가지고 있다.
그 중에서 Disaster in Japan (Watch Report).doc(62,464 바이트)를 실행하게 되면 아래 이미지와 같은 메시지를 보여주나 실제로는 "MS10-087 - 긴급 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용하여 악성코드 감염을 시도하게 된다.
그리고 Understanding Japan's Nuclear Crisis.doc(125,968 바이트)는 아래와 같이 일본 쓰나미와 대지진으로 인한 일본의 원자력 발전소 위험 관련 내용을 보여주게 된다.
그러나 실제 해당 워드 파일은 "MS07-014 Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (929434)" 취약점을 악용하여 실행과 동시에 사용자 모르게 사용자 정보를 유출하고 USB 저장 장치 등으로 유포되는 악성코드에 감염된다.
그 중에서 Disaster in Japan (Watch Report).doc(62,464 바이트)를 실행하게 되면 아래 이미지와 같은 메시지를 보여주나 실제로는 "MS10-087 - 긴급 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용하여 악성코드 감염을 시도하게 된다.
그리고 Understanding Japan's Nuclear Crisis.doc(125,968 바이트)는 아래와 같이 일본 쓰나미와 대지진으로 인한 일본의 원자력 발전소 위험 관련 내용을 보여주게 된다.
그러나 실제 해당 워드 파일은 "MS07-014 Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (929434)" 취약점을 악용하여 실행과 동시에 사용자 모르게 사용자 정보를 유출하고 USB 저장 장치 등으로 유포되는 악성코드에 감염된다.
이 번 일본 쓰나미와 대지진을 악용하여 유포된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Cve-2010-3333
Dropper/Cve-2006-6456
Win-Trojan/Killav.57344.AZ
Dropper/Killav.77840
이 번과 같은 전 세계적으로 높은 관심을 가지는 주제들을 악용해 유포되는 보안 위협들은 향후에도 지속적으로 발견될 것으로 예측 됨으로 트위터, 페이스북과 같은 소셜 네트워크를 이용 할 경우에는 이러한 주제를 가진 메시지에 포함된 단축 URL 클릭시에 주의하도록 한다.
그리고 이를 악용해 유포되는 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다
'악성코드 정보' 카테고리의 다른 글
| UPS 운송 메일로 위장한 허위 백신 설치 악성코드 (0) | 2011.10.27 |
|---|---|
| 사진 파일이 첨부된 메일로 위장한 허위 백신 (0) | 2011.10.27 |
| 라우터 장비를 DoS 공격하는 악성코드 (0) | 2011.10.27 |
| 한국어로 표기된 사이버 범죄 경고 랜섬웨어 유포 (0) | 2011.10.27 |
| V3 실행 여부에 따른 imm32.dll 패치 방식의 변화 (0) | 2011.10.27 |
댓글