금일 안랩 시큐리티 대응 센터(ASEC)는 불특정 다수의 사용자에게 스팸메일을 통해 인터넷 바로가기 파일(확장자: URL)이 다수 유포된 것을 확인하였다.


 

[그림-1] 스팸 메일 내용

해당 메일은 상기 [그림-1]과 같이 ZIP으로 압축된 파일을 첨부하여 유포되었으며, 압축을 해제할 경우 아래의 [그림-2]와 같이 인터넷 바로가기파일이 존재함을 확인 할 수 있다

 

[그림-2] 첨부 파일 압축 해제 시

[그림-3] 정상적인 인터넷 바로가기 아이콘 및 구조

정상적으로 생성된 인터넷 바로가기의 아이콘은 상기 [그림-3]과 같이 사용자의 기본 사용 브라우저 아이콘을 갖고 있으나, 악의적으로 제작된 인터넷 바로가기는 [그림-4]와 같이 shell32.dll 아이콘을 사용하여 폴더 형태 아이콘으로 사용자로 하여금 클릭을 유도하고 있다.

[그림-4] 악의적으로 제작된 인터넷 바로가기 아이콘 및 구조

해당 파일을 클릭할 경우, 내부에 제작자가 유도한 URL로 접속하는 기능이 있으나 현재는 접속은 이루어 지지 않아 어떠한 파일이 다운로드 되는지 확인되지 않았다. 발신자가 불분명한 의심스러운 이메일에 첨부된 파일은 열어보지 않도록 각별한 주의가 요구된다.

현재 V3에서 이러한 URL 파일을 다음의 진단명으로 진단하고 있다.

- URL/Downloader (V3 엔진버전: 2018.03.06.08)

- URL/Downloader.S1 (V3 엔진버전: 2018.03.07.00)

- URL/Downloader.S2 (V3 엔진버전: 2018.03.07.02)

 

 금일 추가 변형이 접수 되었으며, V3는 이러한 유형을 URL/Downloader.S2로 진단하고 있다

[그림 -5] 추가 접수된 인터넷 바로가기 파일 구조

악의적인 목적으로 변형이 지속적으로 제작될 것으로 보여 사용자의 주의가 필요하다.

Posted by JYP