2011년 4월 26일 새벽부터 해외 쇼핑몰에서 주문한 물건에 대한 주문 확인 메일로 위장한 스팸 메일(Spam Mail)에악성코드가 첨부되어 현재까지 다수가 지속적으로 유포되고 있다.
이 번에 발견된 악성코드가 첨부된 허위 주문 확인 확인 메일은 아래와 같은 메일 형태를 가지고 있다.
* 메일 제목
Successfull Order [6자리 임의의 숫자들]
* 메일 본문
Thank you for ordering from Bobijou Inc.
This message is to inform you that your order has been received and is currently being processed.
Your order reference is [6자리 임의의 숫자들].
You will need this in all correspondence.
This receipt is NOT proof of purchase.
We will send a printed invoice by mail to your billing address.
You have chosen to pay by credit card.
Your card will be charged for the amount of 106.00 USD and Bobijou Inc. will appear next to the charge on your statement.
You will receive a separate email confirming your order has been despatched.
Your purchase and delivery information appears below in attached file.
Thanks again for shopping at Bobijou Inc.
* 첨부 파일
Order details.zip(7,345 바이트)
해당 허위 주문 확인 메일에 첨부된 Order details.zip(7,345 바이트)의 압축을 풀게 되면 Order details.exe(17,920 바이트)가 생성된다.
생성된 Order details.exe(17,920 바이트)를 실행하게 되면 윈도우 시스템에 존재하는 정상 svchost.exe를 강제로 실행 후 해당 정상 파일의 메모리 영역에 자신의 코드 일부를 강제로 덮어 쓰게 된다.
메모리 영역 일부가 덮어쓰여진 정상 svchost.exe의 프로세스는 러시아에 위치한 특정 시스템으로 접속을 시도하게 되고 접속이 성공하게 될 경우에는 pusk.exe(352,256 바이트)를 다운로드 하게 된다.
다운로드한 pusk.exe(352,256 바이트) 파일이 실행이 되면 아래 이미지와 같이 기존에 발견되었던 해외에서 제작된 허위 백신이 실행되며 시스템 전체를 검사하게 된다.
검사가 완료하게 되면 다수의 정상 파일들을 악성코드로 진단하고 아래 이미지와 같이 다수의 악성코드가 시스템에서 발견되었다는 허위 경고 문구를 보여주게 된다.
그리고 치료를 위해 프로그램 사용을 위한 등록(Register)를 클릭하게 되면 아래 이미지와 같이 금전적인 비용을 지불 할 것을 요구하게 된다.
결국 해외 쇼핑몰에서 주문한 물건에 대한 주문 확인 메일에 첨부되어 있는 파일은 해외에서 제작된 허위 백신을 설치하기 위한 목적으로 유포된 것이다.
검사가 완료하게 되면 다수의 정상 파일들을 악성코드로 진단하고 아래 이미지와 같이 다수의 악성코드가 시스템에서 발견되었다는 허위 경고 문구를 보여주게 된다.
그리고 치료를 위해 프로그램 사용을 위한 등록(Register)를 클릭하게 되면 아래 이미지와 같이 금전적인 비용을 지불 할 것을 요구하게 된다.
결국 해외 쇼핑몰에서 주문한 물건에 대한 주문 확인 메일에 첨부되어 있는 파일은 해외에서 제작된 허위 백신을 설치하기 위한 목적으로 유포된 것이다.
이 번에 발견된 허위 주문 확인 메일과 관련된 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Chepvil.17920.E
Win-Trojan/Chepvil.17920.F
Win-Trojan/Zbot.17920.D
Win-Trojan/Kazy.352256
이러한 악성코드들로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다
'악성코드 정보' 카테고리의 다른 글
| 오사마 빈 라덴 사망 소식으로 위장한 악성코드 유포 (0) | 2011.10.27 |
|---|---|
| 허위 사진 메일로 위장한 악성코드 다시 유포 (0) | 2011.10.27 |
| BitDefender 백신으로 위장해 유포된 허위 백신 (0) | 2011.10.27 |
| imm32.dll 패치를 위한 비정상적 함수명 사용 (0) | 2011.10.27 |
| 플래쉬 플레이어 CVE-2011-06112 취약점 악용 악성코드 증가 (0) | 2011.10.27 |
댓글