한국시간 2009년 6월 17일 22시경, 일부 외국 보안 업체들에서 신용카드 결제 메일로 위장한 트로이목마가 전파된다는 보고가 있었다.
신용 카드 결제 메일로 위장한 트로이목마는 다음과 같은 형식으로 전파된다는 보고가 있었지만 ASEC에서는 추가적인 정보들을 수집한 과정에서 일부 변형들에 따라서 조금씩 다른 것으로 보고 있다.
* 메일 제목
Information of your Transactions
* 메일 본문
Good evening
Dear Credit Card Holder:
The last transaction report on your credit card shows a number of transactions that have questionable background. That gives us reasons to believe that your credit card details have been stolen, and your card has been abused for making unauthorized payments.
Enclosed is the listing of transactions made with your credit card between
13.06.2009 and 15.06.2009. Please look through the enclosed document carefully and pay special attention to the last three of the listed transactions they are the ones that we suspect to be fraudulent.
Please find time to review the enclosed account statement and confirm the transactions you have authorized in person. This would help us both to have this issue resolved as quickly as possible.
The Word-formatted copy of your transaction list: 악성코드 다운로드 주소
이와 관련해 영국의 보안 업체 소포스(Sohpos)에서도 유사한 형태의 악성코드 정보를 공개하고 있다.
소포스에서 공개한 정보에 따르면 결제 메일로 위장한 부분은 동일하지만 메일 제목과 메일 본문이 조금씩 다른 형태를 보이고 있으며 트로이목마가 첨부 파일인 Worldpay_NR9712.zip 로 되어 있다고 한다.
V3 제품군에서는 해당 트로이목마들을 다음과 같이 진단한다.
Win-Trojan/Zbot.81920.D
그리고 이러한 전자 메일을 통한 악의적인 공격을 예방하기 위해서는 다음의 지침을 숙지하는 것이 중요하다.
1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.
2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.
3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.
4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
5. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
Categories:악성코드 정보