다시 돌아온 UPS 운송 메일로 위장한 악성코드

2009년 8월을 마지막으로 국내에서 발견되지 않았던 UPS 운송 메일로 위장한 악성코드가 국내외에서 다시 발견되기 시작하였다.

금일 발견된 UPS 운송 메일로 위장한 악성코드는 아래 이미지와 같이 “UPS INVOICE NR<임의의 숫자>.” 라는 제목으로 유포되었으며 메일 본문에는 2010년 3월 8일 배송 중이던 소포가 주소 착오로 인해 잘 못되었으니 첨부된 신청서를 프린터해서 주소 정정 신청을 해달라는 요청을 하고 있다.


첨부 파일로는 invoice<임의의 숫자>.zip (56,886 바이트) 파일이 첨부되어 있으며 해당 압축 파일의 압축을 풀면 UPSInvoice.exe (64,000 바이트)가 생성된다.

해당 파일이 실행되면 사용자 계정명의 임시(Temp) 폴더에 5.tmp (20,992 바이트)의 파일을 생성 한 후 윈도우 시스템에 존재하는 정상 시스템 파일인 svchost,exe 파일을 임의로 실행 시킨다.

실행된 정상 시스템 파일인 svchost.exe의 메모리 영역 중 4KB 크기로 자신의 코드를 삽입하게 된다.

삽입된 자신의 코드는 임시(Temp) 폴더에 생성한 5.tmp를 아래 이미지에서와 동일하게 스레드(Thread)를 생성한 후 인젝션(Injection) 시키도록 하고 있다.


그리고 생성한 5.tmp 파일과 동일한 파일을 윈도우 시스템 (C:WINDOWSsystem32) 폴더에 gxiu.nio 라는 파일명으로 복사한다.

5.tmp 파일이 스레드에 삽입된 정상 파일인 svchost.exe 프로세스는 아래 이미지에서와 같이 러시아 도메인 명을 가지고 있으나 미국에 위치한 시스템에 접속을 시도하여 악성코드 유포자가 지정한 명령을 수행하게 된다.


현재 악성코드 유포자에 의해 내려지고 있는 명령은 다수의 다른 웹 사이트들에 접속을 시도하도록 명령을 받아오지만 테스트 당시에는 해당 웹 사이트 주소들에 정상적으로 접속되지 않았다.

과거의 사례를 보았을 때 정상적인 해외에서 제작된 허위 백신을 설치하는 다른 악성코드 변형들을 다운로드 하여 실행하것으로 보여진다.

이번 UPS 운송 메일로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Obfus.64000
Win-Trojan/Oficla.20992.D

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments