지난 23일, 크리스마스 카드 내용 위장된 악성코드 이메일 국내 유입

지난 12월 23일 크리스마스 카드 내용으로 위장된 악성코드 이메일이 국내에 유입된 것이 발견돼 인터넷 사용자들의 각별한 주의가 필요하다.

 

 

이번 크리스마스 카드 내용으로 위장된 악성코드 이메일에 대해 잉카인터넷 시큐리티 대응센터(ISARC)에서는 “국내에 유입된 것이 확인된 이번 이메일은 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있다”며 “악성코드가 첨부파일에 압축된 상태로 포함돼 존재한다”고 설명했다.

또한 잉카인터넷 시큐리티 대응센터에서는 다음과 같이 크리스마스 위장 이메일에 대해 설명했다.

보낸 사람 : e-cards@123greetings.com

메일 제목 : You have received a Christmas Greeting Card!

첨부 파일 : Christmas Card.zip(382,011 바이트)

그리고 이메일 본문에는 다음과 같이 다양한 플래시 파일이 링크돼 보여질 수 있다.

http://c.123g.us/flash/branded_loader.swf

http://i.123g.us/c/edec_c_newjingle/card/113366.swf

http://i.123g.us/c/edec_c_newjingle/card/113413.swf

http://i.123g.us/c/edec_c_newjingle/card/105278.swf

 

이메일에 첨부돼 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함돼 있다.

압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태다.

압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다.

 

해당 파일이 실행돼 컴퓨터가 감염될 경우 시스템 폴더에 ‘wmimngr.exe’, ‘wpmgr.exe’라는 이름의 2개의 파일이 생성된다.

 

실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.

 

 

해당 악성코드들은 nProtect 보안 제품 등 백신제품에 치료 기능을 추가될 것으로 예상됨으로 인터넷 사용자들은 패턴 업데이트를 항시 최신 버전으로 유지할 수 있도록 설정하고 실시간 감시 등을 활성화 하는 노력이 필요하다.

한편 이와 관련 문종현 잉카인터넷 시큐리티대응센터 팀장은 “연말연시가 되면 악성코드 제작자들은 컴퓨터 사용자들의 호기심을 자극하는 주제들을 사용해 새로운 악성코드 유포에 적극적으로 사용하는 사례가 많은 만큼 크리스마스나 신년 축하 메시지로 둔갑한 연하장 등의 이메일 수신에 각별한 주의가 필요하다”고 당부했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>