| “허위 테러 공격 발생 뉴스 악성코드 주의!” | 2009.03.17 | ||||
로이터 통신사 사이트로 위장, 인터넷 사용자 현혹
▲ 이번 악성코드는 ‘Reuters-Korea, Republic of: Terror attack in Seoul’, ‘Powerful explosion burst in Seoul this morning’처럼 대한민국 서울에서 테러가 발생했다는 내용처럼 위장되어 있다. @잉카인터넷 시큐리티 대응센터. 이번에 발견된 형태는 마치 신뢰할 수 있는 로이터 통신사에서 보도한 것처럼 인용한 허위 동영상 화면으로 이루어져 있으며, 인터넷 사용자들을 현혹시킨 후 해당 컴퓨터에 악성코드가 감염되도록 유인하고 있는 사회공학적 악성코드 유포 기법을 사용하고 있다. 이 악성코드는 최근까지 크리스마스 축하카드, 오바마 미국 대통령, 발렌타인 데이 축하카드, 인터넷 쿠폰 내용 등의 내용처럼 위장하여 지속적으로 유포하고 있는 대표적인 종류이다. 그 동안 다양한 이메일 내용을 사용하여 유포하고 있으며, 사용자가 본문에 포함된 링크 주소를 클릭할 경우 아래와 같은 새로운 웹 페이지로 연결이 시도 되는 형태를 사용하고 있다. 특히 이번에 발견된 악성코드는 로이터 통신사(www.reuters.com) 사이트처럼 위장하고 있는 것이 특징이다. 새로 연결되는 웹 페이지의 제목과 본문에는 연결된 IP 주소의 지역을 가변적으로 보여주어, 마치 자신이 있는 지역에서 테러가 발생한 것처럼 오인하도록 만들게 된다.
동영상 재생기처럼 보여지는 곳은 단순한 그림파일로 클릭하면 악성코드가 다운로드 되도록 연결되어 있으며, 화면 바로 아래에는 재생을 위하여 플래시 플레이어 최신 버전이 필요하다고 유인하여 ‘Click here’ 부분에도 악성코드를 링크시켜 두었다.
▲ 사용자가 악성코드가 링크된 부분을 클릭하면 이와 같이 다운로드 시도 화면이 보여진다. @잉카인터넷 시큐리티 대응센터. 이러한 악성코드에 감염될 경우 자신의 컴퓨터가 또 다른 악성코드를 유포하는 P2P Bot Net 이나 Spam Mailer 경유지로 악용될 수 있으며, 이로 인하여 개인정보(IP 주소 등)가 외부로 노출되거나 네트워크 속도가 현저하게 느려지는 피해 등이 발생할 수 있기 때문에 각별히 주의해야 한다. 이와 관련 잉카인터넷 시큐리티 대응센터 관계자는 “인터넷 이용자는 nProtect Anti-Virus 제품과 같은 최신 패턴으로 유지하고 있는 백신 프로그램의 실시간 감시 기능과 전체 검사를 통해서 감염되지 않도록 관심을 기울이는 것이 필요하다”고 권고했다. 한편 잉카인터넷 시큐리티 대응센터는 이와 관련 실시간으로 제작되어 유포되고 있는 변종 악성코드들을 다량 수집하여 수시로 업데이트하고 있으며, 이에 대한 변종정보는 다음에 링크된 잉카인터넷 엔프로텍트 홈페이지를 통해 확인할 수 있다. http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=54 http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=52 [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||||
 |
