악성 파일 정보

[주의]거래개선협회 내용으로 위장한 악성 이메일 국내 유입

1. 개요


잉카인터넷 대응팀은 미국 거래개선협회(BBB:Better Business Bureau)에서 발송한 것으로 사칭한 후, 악성파일을 첨부하여 전파하는 수법의 이메일이 국내에 유입된 것을 발견하였다. BBB 내용처럼 조작된 이메일은 해외에서 다수 발견된 사례가 있었지만 국내에서 공식적으로 발견 보고된 것은 처음이다. BBB 는 미국 및 캐나다의 거래개선협회이며, 소비자 보호와 불만신고 개선 등의 사업을 진행하는 단체이다. 또한, 거래개선협회의 인가서는 기업으로서 신뢰도를 공인 받는 영예로운 것으로 알려져 있기도 하다. 인터넷 이용자들은 BBB 내용으로 구성된 이메일을 수신할 경우 악성파일이 첨부되어 있지는 않은지 꼼꼼히 살펴보고 접근하는 것이 안전하겠다.



- 거래개선협회(BBB:Better Business Bureau) 내용으로 가장한 악성 이메일 국내 유입
- BBB Report.zip (BBB report.exe) 이름의 악성파일 첨부

2. 악성파일 전파 사례

- http://atlanta.bbb.org/article/its-back-fake-bbb-complaint-email-makes-rounds-in-2012-32038

유명 물류 배송을 사칭한 용감한 녀석들!
http://erteam.nprotect.com/273

악성 이메일은 보낸 사람이 Better Business Bureau <info@bbb.org>로 조작되어 있으며, 제목과 본문 그리고 첨부파일들이 모두 실제 BBB 내용처럼 보이도록 만들어져 있지만 전부 허위로 구성된 내용이다.


수신자로 하여금 이메일에 첨부되어 있는 "BBB Report.zip" 압축파일을 열어보도록 유도하고 있는데, ZIP 파일 내부에는 "BBB report.exe" 라는 이름의 문서(Report)가 아닌 실행 가능한 악성파일이 포함되어 있다.


BBB report.exe 악성파일이 실행되면 All Users 경로에 svchost.exe 이름으로 복사본을 생성한다.
 


레지스트리를 추가하여 재부팅시 자동으로 실행되도록 만든다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched   c:\documents and settings\all users\svchost.exe



svchost.exe 파일은 TCP/IP 접속을 시도하지만 분석당시 특별한 호스트 연결 내용은 확인되지 않았다. 하지만 이러한 악성파일은 공격자의 다양한 추가 명령에 따라서 부수적인 공격 피해를 입을 수 있는 위험한 형태의 악성파일 종류라 할 수 있다.

3. 마무리

유명 기업이나 국제적 이슈 등으로 위장하여 악성파일을 첨부한 후 유포하는 사회공학적 기법은 매우 고전적인 악성파일 전파 수법 중에 하나이지만, 아직도 많은 사용자들에 해당 위협에 쉽게 노출되고 있는 것이 현실이다.

인터넷 사용자들은 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 URL 링크 주소 등이 악의적인 내용일 수 있다는 점을 절대로 잊어서는 안된다. 사용자 스스로 이러한 방식의 보안 위협에 피해를 입지 않기 위해서는 항상 주의하고 의심해 보는 습관이 중요하다고 할 수 있다.

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

저작자 표시 


댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기