해마다 한 해가 가고 새로운 해가 시작되는 연말이 되면 이러한 사회적인 분위기를 이용하여 악성코드 유포가 발생하게 된다. 이러한 사회적인 분위기를 이용하여 유포된 사례로 최근에는 할로윈 축하 카드 메일로 위장한 Prolaco 웜이 발견되었다.

올 해도 역시 연말 연시와 함께 크리스마스(Christmas) 시즌을 맞이한 사회적 분위기를 이용하여 크리스마스 축하 카드로 위장한 악성코드가 2009년
12월 23일 한국내로 유입된 것을 ASEC에서 발견하였다.

이 번에 발견된 악성코드는
"You have received a Christmas Greeting Card!"라는 메일 제목으로 크리스마스 축하 카드로 위장하고 있으며 메일 본문에는 아래와 같이 플래쉬(Flash)로 제작된 크리스마스 축하 영상이 포함되어 있다.


해당 이미지 가운데 존재하는 "Play"라는 문구를 클릭하게 되면 아래 이미지에서와 같이 촛불들이 밝아지면서 크리스마스 축하 문구의 내용들이 등장하게 된다.


그리고 해당 전자 메일에 첨부되어 있는 "Christmas Card.zip (382,011 바이트)" 파일을 실행하도록 유도한다.

해당 첨부 파일의 압축을 풀면 아래 이미지와 같이 "Christmas Card.htm<다수의 공백>.exe (441,344 바이트)" 파일이 생성된다.


압축을 푼 해당 파일은 전자메일로 자신을 유포하는 기존에 발견된 Ackantta 웜의 변형 중 하나이며 2009년 6월경 트위터(twitter) 초대 메일로 위장하여 유포된 사례가 있다.

해당 웜이 실행되면 윈도우 시스템 폴더(c:\windows\system32)에 자신을
wmimngr.exe라는 파일명으로 복사하고 윈도우 레지스트리에 Windows Management 키 값으로 자신을 등록하여 시스템 실행시 마다 웜을 실행하도록 한다.

그리고 윈도우 시스템에 포함되어 있는 방화벽을 우회하기 위해 윈도우 레지스트리 특정 키를 조작하고 감염된 시스템에서 실행 중인 서비스(Service) 검색하여 McAfee HackerWatch Service, FPAVServer, RSRavMon와 AVP 등 보안 소프트웨어 서비스를 강제종료하여 보안 소프트웨어의 정상적인 구동이 불가능하도록 한다.

감염된 시스템에 설치되어 있는 메일 클라이언트 프로그램인 아웃룩(Outlook)과 썬더버드(Thunderbird)의 특정 폴더에서 메일 주소를 수집하여 해당 메일 주소들로 웜이 첨부되어 있는 메일들을 대량으로 발송하게 된다.

이번 크리스마스 축하카드로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/BypassAgent.441344 

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.



6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC