허위 사진 메일로 위장한 악성코드 다시 유포

ASEC에서는 2011년 2월에 최초 발견되고 다시 3월 18일 사진 파일이 첨부된 메일로 위장하여 허위 백신이 유포된 사례가 발견되었음으로 이러한 메일을 수신할 경우에는 첨부 파일을 실행 하지 않도록 주의가 필요하다는 사실을 전한 바가 있었다.

해당 허위 사진 메일로 위장한 악성코드가 4월 27일경부터 다시 유포되기 시작하여 현재까지 지속적으로 발견되고 있음으로 컴퓨터 사용자의 주의가 필요하다.

이 번에 발견된 허위 사진 메일로 위장한 악성코드가 첨부된 메일 형태는 다음과 같다.

* 메일 제목 (다음 중 하나)

my naked picture

my naked pic :)

naked picture of me

sending you my nude pic

my hot pic :)

sending you my nude pic

for a good day :)

my naked pic is attached

* 메일 본문 (다음 중 하나)

hi sweetie...

sending you my naked pictures i made today, hope you like em :)

kisses..

hi sweetie...

+---------

sending you my naked pictures i made today, hope you like em :)

c ya tommorow

kisses..

+---------

I love wild sex and looking for a discreet partner.

I have my picture attached to this email. Take a look at it and get back if

you like what you see.

* 첨부 파일 (다음 중 하나)

pictures.zip(45,003 바이트), mypicture.scr(54,784 바이트)

위와 같은 형식을 가진 메일에 첨부된 파일은 파일명은 조금씩 다른지만 시스템에서 실행이 되면 pool.ntp.org와 microsoft.com 등으로 접속을 시도하여 실행 된 시스템이 네트워크에 역결되어 있는지 확인을 하게 된다.

실행된 시스템이 네트워크에 연결되어 있는 것이 확인 되면 미국에 위치한 특정 시스템으로 접속을 시도하여 특정 파일을 다운로드 하려고 시도하나 테스트 당시에는 정상적으로 다운로드되지 않았다. 그러나 과거 사례를 보았을 때 허위 백신을 설치하는 다른 악성코드를 다운로드 할 것으로 추정된다.

그리고 시스템에서 실행 중인 프로세스들 중에서 kav.exe와 navapsvc.exe 같은 보안 프로그램들의 프로세스를 확인 한 후 강제 종료를 시도한다. 또, 레지스트리(Registry)를 조작하여 윈도우 보안 센터의 서비스를 강제종료 한다.

지속적으로 발견되고 있는 사진 파일이 첨부된 메일로 위장한 허위 백신은 V3 제품군에서 다음과 같이 진단하고 있다. 그러나 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다.

Win-Trojan/Zbot.54784.F

Win-Trojan/Kazy.54272.B

Win-Trojan/Downloader.54784.AY

이러한  악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.