한글 이력서 내용으로 위장되어 유포 되어지는 악성 이메일이 최근 발견 되었다. 해당 이메일 내에는 실행 가능한 악성파일이 첨부되어진 상태이며 이를 실행시 추가적인 감염 행위가 발생할 수 있으므로 이와같이 발신처가 불분명한 이메일에 대해서는 열람시 주의가 필요할 것으로 보인다.
2. 감염 경로 및 증상
해당 이메일을 살펴보면 정상적인 이력서 내용을 포함한 메일처럼 위장 되어져 있으며, 개인정보 프로필과 같은 첨부파일이 내부에 포함 되어져 이를 열람하여 볼수 있도록 유도하고 있다.
"Resume.rar(98,006 바이트)" 첨부파일 내부에는 "Resume.chm(101,511 바이트) " 파일이 포함 되어져 있으며, "Resume.chm" 파일을 실행 할 경우 내부에 포함되어진 svchost.exe 악성파일이 추가로 실행되어 동작할 수 있도록 제작 되어 있다.
※ CHM File 이란?
현재 압축 형태의 .chm 파일을 풀어 보면 아래의 그림과 같이 실행 가능한 svchost.exe 과 특정 확장자 파일들이 압축 형태로 존재하고 있음을 확인할 수 있다.
Resume.chm 파일을 실행하게 되면 아래의 그림과 같이 이력서 프로필 정보가 포함 되어진 내용을 확인할 수 있다.
chm 파일을 실행할 경우 내부 폴더가 존재하는 "launch.htm" 파일에 의하여 Active Content 를 포함하고 있는 특정 파일을 실행하게 되는데 이파일이 바로 "svchost.exe" 악성파일이다.
svchost.exe 악성파일이 실행되면 실행중인 정상 프로세스들의 경로에 정상 실행 파일을 확장자 없이 백업하게 되며, 악성파일 자신은 정상 파일명으로 복사하게 된다. 감염되어진 악성파일은 정상 파일과 연계되어 있어 정상 파일명으로 복사되어진 악성파일을 실행 할지라도 정상 파일처럼 실행이 되게 되며 이로인하여 사용자는 감염 여부 확인이 쉽지 않다.
아래의 그림은 위에서 설명한 악성파일 감염 방식 및 증상을 간략하게 설명하여 보았다.
※ Svchost.exe 악성파일에 의한 감염 증상
위와 같은 악성파일이 실행될 경우 다음과 같은 경로에 추가적인 악성파일을 생성하게 된다.
C:\Windows\Downloaded Program FIles\svchost.exe (307,200 바이트)
3. 예방조치 방법
이와 같은 악성파일 감염으로 부터 안전하기 위해서는 다음과 같은 사전 예방조치가 필요하다.
2. 윈도우와 같은 OS 및 각종 응용 프로그램에 대해서는 최신 보안 패치를 적용하도록 한다.
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 유지하도록 한다.
현재 이와같은 취약점으로 부터 발견되어진 악성파일과 관련하여 nProtect Anti-Virus 제품군에서는 모두 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 보안 위협에 대하여 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
| v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요 (0) | 2011.05.17 |
|---|---|
| 오사마 빈 라덴 사망을 이용한 페이스북 악성 어플리케이션 및 악성파일 유포 주의 (0) | 2011.05.03 |
| imm32.dll 패치 악성파일의 진화는 어디까지....? <두번째 이야기> (0) | 2011.04.21 |
| 페이스북(Facebook) 담벼락 자동 게시 앱(Application) 설치 주의 (0) | 2011.04.19 |
| 웹 브라우저 취약점을 이용하여 유포되어지는 악성파일 주의 (0) | 2011.04.19 |