본문 바로가기
악성코드 정보

메일 본문이 이미지로 처리된 허위 페이스북 안내 메일

by 알 수 없는 사용자 2011. 10. 27.
2011년 1월부터 발견되기 시작하여 4월 현재까지 소셜 네트워크 서비스(Social Network Service)인 페이스북(Facebook)에서 발송하는 메일로 위장한 악성코드가 지속적으로 발견되고 있다.

최근에 발견되고 있는 페이스북에서 발송하는 것으로 위장한 메일에는 기존과 다르게 메일 본문 전체를 이미지로 처리하여 보안 제품에서 탐지를 어렵도록 한 사례가 발견 되었다.

메일 본문 전체를 이미지로 처리하여 보안 제품의 탐지를 어렵게 한 사례는 다음과 같이 과거에도 다수 발견된 사례가 있다.

2010년 6월 메일 본문이 이미지로 처리한 악성 스팸 메일
2010년 8월 메일 본문을 이미지 처리한 페덱스 위장 악성코드

2010년 10월 메일 본문이 이미지로 제작된 허위 USPS 운송 메일

 
이 번에 발견된 메일 본문 전체가 이미지로 처리된 허위 페이스북 메일은 아래 이미지와 동일한 메일 본문을 가지고 있으며 메일 제목은 "Spam from your Facebook account" 또는 "Spam from your account " 을 사용하고 있다.


이 외에도 페이스북에서 발송하는 허위 메일들은 다음의 메일 형식을 가지고 있는 것들도 발견되고 있다.

* 메일 제목

Your password is changed

* 메일 본문

Dear Customer

Spam is sent from your FaceBook account.

Your password has been changed for safety.

Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.

Please do not reply to this email, it's automatic mail notification!

Thank you for your attention.
Your Facebook!

해당 허위 메일들에는 첨부 파일로 "FacebookP[6자리 숫자들].zip (23,586 바이트)" 파일이 존재하며 압축 파일을 풀게 되면 "FacebookPassword.exe (26,624 바이트)"가 생성된다.

생성된 "FacebookPassword.exe (26,624 바이트)"는 외부에 존재하는 시스템에서 다른 악성코드들을 다운로드하고 해외에서 제작된 허위 백신들의 감염을 목적으로 하고 있다.

이 번에 발견된 페이스북에서 발송하는 메일로 위장하여 유포되었던 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 그러나 다양한 변형들이 존재함으로 사용자의 각별한 주의가 필요하다.

Win-Trojan/Bredo.27136
Win-Trojan/Agent.30808
Win-Trojan/Bredolab.26624.AY
Win-Trojan/Oficla.108032

이러한  악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글