2011년 3월 24일부터 국내로 유입되기 시작한 UPS(United Parcel Service) 운송 메일로 위장한 악성코드가 현재까지도 다양한 변형들이 첨부되어 유포되고 있다.
이 번에 발견된 UPS 운송 메일로 위장한 악성코드는 2009년 6월부터 다양한 변형들이 첨부되어 유포 되었으며 DHL 운송 메일로 위장한 악성코드 변형들 역시 2009년 8월부터 현재까지 다양햔 변형들이 유포되고 있다.
그러므로 ZIP 압축 파일이나 실행 파일 그리고 웹 사이트 링크 등이 포함된 UPS와 DHL 등의 우편 운송 안내 메일을 수신할 경우에는 각별한 주의가 필요하다.
이 번에 유포된 UPS 운송 메일로 위장한 악성코드는 다음과 같은 크게 2가지 메일 형태를 가지고 있다.
* 메일 제목
United Parcel Service notification <5자리 숫자들>
* 메일 본문
Dear customer.
The parcel was sent your home address.
And it will arrive within 3 business day.
More information and the tracking number are attached in document below.
Thank you.
? 1994-2011 United Parcel Service of America, Inc.
* 첨부 파일 (다음 중 하나)
UPS.zip
UPS-tracking.zip
위와 같은 메일에 첨부된 UPS.zip은 압축을 풀면 UPS.exe(18,944 바이트)이 생성되며
UPS-tracking.zip의 압축을 풀면 UPS-tracking.exe(18,432 바이트)이 생성된다.
* 메일 제목 (다음 중 하나)
UPS Package
UPS: Your Package
Your Tracking Number
United Postal Service Tracking Nr.<10자리 숫자들>
* 메일 본문
Good day,
We were not able to deliver parcel you sent on the 19nd March in time
because the recipient’s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
* 첨부 파일
UPS_TRACKING_NR_<10자리 숫자들>.zip
해당 메일 형식에 첨부된
UPS_TRACKING_NR_<10자리 숫자들>.zip의 압축을 풀게 되면 UPS_TRACKING_NR_<10자리 숫자들>___.DOC.exe (546,304 바이트)이 생성된다.
생성된 해당 파일들이 실행되면 감염된 시스템에 존재하는 정상 svchost.exe 파일을 강제로 실행 시킨 후 아래 이미지와 같이 해당 정상 파일의 특정 메모리 영역에 자신의 코드 전체를 삽입 한 후 실행하게 된다.
메모리 영역에 삽입된 코드는 정상 시스템 파일을 이용하여 우크라이나에 위차한 특정 시스템에서 특정 파일들을 다운로드 한 후 실행하게 된다.
다운로드 한 파일은 아래 이미지와 같이 정상 윈도우 보안 센터에 강제적으로 "보안 설정 관리 대상"에 "XP Home Security"를 생성하게 된다.
그리고 아래 이미지와 같이 시스템 전체를 검사 한 후 정상 파일들을 악성코드로 진단하는 허위 진단 결과를 보여주게 된다.
검사가 종료 된 이후에는 이제까지 발견된 다른 허위 백신들과 동일하게 아래 이미지에서와 같이 시스템에서 심각한 악성코드가 발견되었으며 치료를 위해서 등록을 하라는 허위 문구를 보여주게 된다.
진단한 파일들의 치료를 위해 등록 "Register"를 클릭하게 되면 아래 이미지에서와 같이 금전적인 결제를 하여야만 정상적인 사용이 가능하다고 안내 하고 있다.
이 번에 발견된 허위 백신은 이제까지 발견된 다른 허위 백신들과는 달리 정상 윈도우 보안 센터의 "보안 설정 관리 대상"에 허위 백신을 실행하도록 연결시켜 시스템 사용자로 하여금 정상 보안 프로그램으로 오인하도록 설정한 부분이 특이점이라고 할 수 있다.
메모리 영역에 삽입된 코드는 정상 시스템 파일을 이용하여 우크라이나에 위차한 특정 시스템에서 특정 파일들을 다운로드 한 후 실행하게 된다.
다운로드 한 파일은 아래 이미지와 같이 정상 윈도우 보안 센터에 강제적으로 "보안 설정 관리 대상"에 "XP Home Security"를 생성하게 된다.
그리고 아래 이미지와 같이 시스템 전체를 검사 한 후 정상 파일들을 악성코드로 진단하는 허위 진단 결과를 보여주게 된다.
검사가 종료 된 이후에는 이제까지 발견된 다른 허위 백신들과 동일하게 아래 이미지에서와 같이 시스템에서 심각한 악성코드가 발견되었으며 치료를 위해서 등록을 하라는 허위 문구를 보여주게 된다.
진단한 파일들의 치료를 위해 등록 "Register"를 클릭하게 되면 아래 이미지에서와 같이 금전적인 결제를 하여야만 정상적인 사용이 가능하다고 안내 하고 있다.
이 번에 발견된 허위 백신은 이제까지 발견된 다른 허위 백신들과는 달리 정상 윈도우 보안 센터의 "보안 설정 관리 대상"에 허위 백신을 실행하도록 연결시켜 시스템 사용자로 하여금 정상 보안 프로그램으로 오인하도록 설정한 부분이 특이점이라고 할 수 있다.
해당 허위 백신들은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Chepvil.18432
Win-Trojan/Chepvil.18944.B
Win-Trojan/Fakeav.143872.H
Win-Trojan/Fakeav.143872.I
Win-Trojan/Fakeav.64008
Win-Trojan/Fakealert.546304
Win-Trojan/Agent.33928.B
Win-Trojan/Agent.33928.C
이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| Lizamoon로 명명된 대규모 SQL 인젝션 공격 (0) | 2011.10.27 |
|---|---|
| 한국어로 표기된 허위 윈도우 라이센스 랜섬웨어 발견 (0) | 2011.10.27 |
| 사진 파일이 첨부된 메일로 위장한 허위 백신 (0) | 2011.10.27 |
| 일본 쓰나미와 대지진을 악용한 보안 위협들의 생산 (0) | 2011.10.27 |
| 라우터 장비를 DoS 공격하는 악성코드 (0) | 2011.10.27 |
댓글