◇유포 경로 및 감염 증상=해당 악성 이메일의 경우 여러 스팸메일들과 같이 인터넷 사용중 개인 이메일 계정 정보 유출 등으로 인해 수신될 수 있으며, 이메일 내부에 첨부파일 형태로 포함되어 있는 실제 악성파일은 SNS, 인스턴스 메신저 등의 링크 접속을 통해 다운로드될 수 있다.
최근 발견되고 있는 호텔 예약 오류와 관련한 악성 이메일은 여러가지 종류가 존재하며, 지속적으로 메일 내용이 변경되어 출현중에 있다.
아래의 그림은 호텔 예약 오류와 관련한 악성 이메일에 대한 화면이다.
아래는 유사한 악성이메일들이다.
메일 내용은 대부분이 비슷하며, 예약시 입금 금액에 대한 오류 내용이 주를 이루고 있으며, 첨부된 시트 파일을 참고하라는 문구로 첨부된 악성파일에 대한 다운로드 및 실행을 유도하고 있다.
아래의 그림은 첨부된 압축파일에 대한 압축해제 시 확인 가능한 첨부파일이다.
해당 악성파일의 아이콘은 위 그림과 같이 엑셀 파일과 유사하다. 이로인해 일반 사용자의 경우 결제 관련 시트파일로 오인하여 별다른 의심없이 해당 파일을 실행할 수 있다.
또한, 해당 악성파일을 실행하면 특정 외부 사이트로 접속을 시도하며, 아래의 그림과 같이 허위백신과 관련된 추가적인 악성파일 다운로드를 시도할 수 있다.
<특정 외부 사이트 접속 리스트>
- http://(생략).ru/forum4/(생략)
- http://www.(생략).com/
- http://(생략).com/(생략)/img.php?id=106
※ 현재는 위에 나열된 접속 리스트들 모두 접속이 불가능한 상태이다.
위 그림과 같은 허위백신 관련 악성파일은 Tls Callback 함수 등을 사용하여, 쓰레드 생성전 Packing된 파일에 대해 Unpacking 후 실행되는 구조로 되어있다.
다만, 해당 악성파일의 경우 내부에 특정 외부 사이트 URL에 대한 파싱부분이 존재하며, 몇가지 조건이 충족되지 않을 경우 정상적으로 실행되지 못할 수 있다.
◇예방 조치 방법=위와 같은 악성 이메일의 경우 대부분 일반 사용자들이 쉽게 현혹될 수 있는 사회공학 기법을 사용하고 있어 육안상 악성 여부를 판별하기가 쉽지 않다. 이러한 악성 이메일과 첨부된 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다 할 수 있겠다.
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일의 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. SNS, 인스턴트 메신저 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.
[잉카인터넷 시큐리티대응팀 문종현 팀장]
