[보안뉴스 권 준]  최근 안랩의 보안관제(원격) 담당 팀인 CERT의 이름을 사칭한 악성 메일이 지속적으로 유포되고 있어 사용자들의 주의가 필요하다. 

안랩(구 안철수 연구소, 대표 김홍선, www.ahnlab.com)에 따르면 발견된 악성 메일은 ‘ms12-076 변종공격!’이라는 제목으로 발송되었으며, 안랩 CERT(원격 보안관제팀)의 메일 주소를 사칭하는 것으로 알려졌다. ‘최근 MS가 보안 패치를 배포한 MS12-076의 변종이 발견되어 긴급 패치가 필요하다’는 내용과 함께 악성코드를 다운로드하는 URL을 삽입했다. 발신지 IP는 중국으로 확인됐다.

다운로드 링크를 실행 시 업데이트 설치과정 창을 사용자에게 보여주지만 정상 윈도우 업데이트에서 제공하는 폰트나 안내문을 따르지 않으며, 실제 마이크로소프트의 디지털 서명으로 인증이 되어 있지 않다.

가상환경 실행 여부를 탐지한 후, 가상환경이 아닐 시에는 정상과 악성 파일을 동시에 생성한다. 이 때 생성된 악성 실행 파일은 네트워크 접속 가능 여부 확인 후, 네트워크에 접속해 외부에서 수신한 데이터로 파일 실행 혹은 명령을 수행하도록 설계되어 있다.

이와 관련 안랩 측은 “현재 몇몇 기업에 악성 메일이 발송됐으며, V3로 해당 악성코드를 진단하고 있다”며, “사용자는 피해를 방지하기 위해 해당 제목의 메일을 열지 말고 바로 삭제하는 것이 안전하며, 사용하는 백신 프로그램을 최신 버전으로 업데이트 하는 것이 필수적”이라고 당부했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>