2009년 6월 부터 지속적으로 국내에 유입 중인 Zbot 변형이 2010년들어서도 지속적으로 유포되고 있는 것을 ASEC에서 확인 하였다. 이 번에 유포된 Zbot 변형은 2010년 1월 23일 새벽부터 국내에 유입된 것으로 추정되며 AOL 메신저 서비스 팀으로 위장한 전자 메일을 통해 감염을 시도하였다.

이 번에 국내 유입 된 Zbot 변형은 전자 메일의 내용은 아래 이미지들과 같이 모두 동일하나 전자 메일 제목만 조금씩 다르며 다음과 같다.

* 전자 메일 제목
Your AOL Instant Messenger account will be deleted
AOL Instant Messenger critical update
Your AIM account is flagged as inactive
AIM critical update
AOL Instant Messenger critical update
Your AOL Instant Messenger account is flagged as inactive

아래 이미지들과 같은 전자 메일 본문에는 붉은 색 박스에서와 같이 특정 웹 사이트로 연결되는 링크가 제공 되고 있다. 메일 본문에는 사용하던 AOL 메신저 계정이 사용 중이지 않으니 72 시간 이후에는 자동으로 삭제된다는 서비스 팀의 안내 메일 내용으로 위장하고 있다.



해당 전자 메일들 본문에 제공되는 링크를 클릭하게 되면 아래 이미지에서와 같이 AOL 메신저 업데이트 웹 사이트로 위장한 웹 사이트로 연결이 되며 웹 사이트에서
aimupdate_7.1.6.475.exe(130,048 바이트)의 파일을 다운로드 한 후 실행 할 것을 유도하고 있다.


해당 웹 사이트에서 제공하는 파일은 익히 알려진 Zbot 트로이목마의 다른 변형 중 하나이다.

V3 제품군에서는 해당 악성코드를 다음과 같이 진단한다.

Win-Trojan/ZBot.130048.K

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC