1. 서론
 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다.


2. 전파 경로
 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.

유형 1) Facebook 에서 발송한 메일로 위장한 경우

[그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일



유형 2) 구글에서 발송한 메일로 위장한 경우
 
[그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일


유형 3) 초대 E-Card로 위장한 경우
 
[그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일


유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우

 
[그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일


유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우

 
[그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일


위 5가지 유형의 메일이 현재 발견된 메일이며 첨부된 ZIP 파일 목록은 아래와 같습니다.


[그림] 첨부된 악성코드 파일명


위 압축 파일을 해제하면 아래와 같은 파일이 존재합니다. 해당 파일의 특징은 “document.[pdf 또는 jpg 또는 chm][다수의 스페이스].exe” 파일명을 가지고 있으며 다수의 스페이스를 파일명에 삽입하여 EXE 파일을 다른 파일처럼 위장을 하고 있는 것이 특징입니다.


[그림] 다수의 스페이스를 삽입하여 jpg, chm. pdf 파일로 위장하고 있는 악성코드



3. 감염 증상
 우선 해당 악성코드 감염이 되면 가장 두드러 지게 나타나는 증상은 25번 포트로 다수의 패킷이 발생하는 증상입니다. 이유는 해당 악성코드 감염 시 다수의 스팸메일을 발송하기 때문입니다.

[그림] 25번 포트로 다수의 패킷이 발생하는 화면


그리고 아래와 같은 파일을 생성하게 됩니다.


C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
[표] 악성코드로 인해 생성되는 파일


생성되는 파일 중 눈에 띄는 특징은 Firefox 브라우져 경로에 몇몇 파일을 생성한다는 점입니다. 해당 파일들은 Firefox 애드온 관련 파일로 아래와 같은 애드온이 설치되게 됩니다.


[그림] 악성코드로 인해 설치되는 Firefox 애드온


해당 애드온은 Adobe 사의 Flash Plugin으로 위장을 하고 있지만 실제로은 악성 애드온이며 해당 애드온의 기능은 Google 이나 Bing 등의 검색엔진에서 검색 시 검색결과를 조작하여 보여주는 기능입니다.



4. 대응 현황
 현재 V3 제품군에서는 아래와 같은 진단명으로 해당 악성코드를 진단하고 있습니다. 스마트 업데이트를 통해 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

ASD.Prevention
Win-Trojan/Banload.610304.D
[표] 해당 악성코드에 대한 V3 제품군 진단명



5. 수동 조치 방법

 가급적 V3 제품을 통해 조치하는 것을 권장드리지만 수동으로 조치를 하고자 하신다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.

1) 아래 안내해 드리는 링크에서 GMER 프로그램을 다운로드 합니다.
GMER 다운로드 링크 : http://gmer.net/gmer.exe

2) GMER 프로그램 실행 후 상단의 “>>>” 탭을 선택하면 메뉴가 나타나게 됩니다. 메뉴 중 [Files] 탭으로 이동합니다.


 
3) File 탭에서 아래 안내해 드리는 파일을 찾아 삭제를 하시기 바랍니다. 만약 아래 안내해 드리는 파일이 존재하지 않는다면 무시하셔도 됩니다.

C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe



4) 파이어폭스 실행 후 부가기능에서 악성코드로 인해 설치된 부가기능을 제거 하시기 바랍니다.

 


5) 위 작업을 모두 마치셨다면 시스템을 재부팅 하시기 바랍니다.



6. 결론
 최근 메일을 통해 유명 SNS인 Facebook이나 Twitter 혹은 유명 기업을 사칭하여 메일을 발송해 악성코드를 전파하는 메일이 다수 발견되고 있습니다. 사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표] 메일 열람 안전 수칙

신고
Creative Commons License
Creative Commons License
Posted by 비회원