트위터(twitter) 초대 메일로 위장한 악성코드


소셜 네트워크 서비스(SNS, Social Network Service)로 유명한 트위터의 초대 메일로 위장한 악성코드가 발견되었다는 시만텍(Symantec)의 보고가 2009년 6월 17일 있었다.

Mass-Mailing Worm in Fake Twitter Account Invite

국내 언론에서도 트워터 초대 메일로 위장한 악성코드 발견에 대해 아래와 같은 기사들이 제공되고 있다.

“악성코드 심은 트위터 초청장 주의”

[긴급] 트위터 초청장 사칭한 악성 웜 등장…주의!

‘트위터’ 사칭 악성코드 주의보

시만텍에서 보고한 트위터 초대 메일로 위장한 악성코드는 다음의 메일 형태를 가지고 있는 것으로 알려져 있다.

그러나 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 2009년 6월 초 부터 전파 되기 시작한 것으로 추정된다. 그리고 트위터 초대 메일 형태를 포함해서 다른 메일 형태와 다른 웜의 변형들도 존재하는 것으로 파악된다.

* 메일 발신자
e-cards@hallmark.com
invitations@twitter.com
invitations@hi5.com

* 메일 제목
You have received A Hallmark E-Card!
Your friend invited you to twitter!
Jessica would like to be your friend on hi5!


* 메일 본문
You have recieved A Hallmark E-Card.  
Hello! You have recieved a Hallmark E-Card from your friend.
To see it, check the attachment.There's something special about that E-Card feeling.
We invite you to make a friend's day and send one.Hope to see you soon,Your friends at Hallmark  Hallmark.com | Privacy & Security | Customer Service | Store Locator  

Skip past navigationOn a mobile phone?
Check out m.twitter.com!Skip to navigationSkip to sign in formSelect Language … EnglishJapaneseYour friend invited you to twitter!
Twitter is a service for friends, family, and co-workers to communicate and stay connected through the exchange of quick, frequent answers to one simple question:
What are you doing?
To join or to see who invited you, check the attachment. Watch a video!
Please sign inuser name or email address:password:Remember meForgot password?
Click here.Already using Twitter from your phone?
Click here.Twitter is the first thing on the web that I've been excited about in ages.Jason Kottke, BloggerI really like Twitter.Jeff Barr, Amazon.com, Senior ManagerIncredibly usefulWiredFooter2009 TwitterAbout UsContactBlogStatusAppsAPISearchHelpJobsTermsPrivacycloseGalleriesofby


* 첨부 파일명
Postcard.zip
Invitation Card.zip


첨부된 압축 파일을 풀면
document.chm(다수의 공백).exe의 파일이 생성된다.

V3 제품군에서는 다음과 같이 진단 가능하나 일부 변형들에 대해서는 다르게 진단 할 수도 있다.

Win-Trojan/Agent.387584.E
Win32/Ackantta.worm.368681
Win32/Ackantta.worm.372779


Ackantta 웜은 이번에 처음 발견된 악성코드는 아니며 기존에도 계속 변형들이 발견되었던 웜이다. 해당 웜과 같이 소셜 네트워크 서비스와 관련된 웜으로는 기존에 알려진
Win32/Koobface.worm을 들 수가 있다.

이번에 트워터 초대 메일로 위장한 Ackantta 웜의 제작자는 변형들을 제작할 때 마다 사회적 관심이 높은 주제를 전자 메일의 제목으로 선정하여 메일 수신자를 현혹하는
사회 공학 기법
(Social Engineering)을 사용해 왔었다.

사회 공학 기법에 대해서는 아래 글을 참고하면 좋을 것 이다.

Ackantta 웜은 2008년 크리스마스 시즌과 연말 연시 시즌에는 아래 이미지와 같이 눈사람  모양의 아이콘을 사용하는 등 다른 형태로 지속적인 변형이 양산되는 형태임으로 각별한 주의가 필요하다.

그리고 이러한 전자 메일을 통한 악의적인 공격을 예방하기 위해서는 다음의 지침을 숙지하는 것이 중요하다.


1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments