발신인 명확하지 않거나, 첨부파일 포함된 메일은 주의해야

[보안뉴스 김태형] HSBC은행을 사칭해 악성 파일이 첨부되어 유포되는 스팸 메일이 발견되어 이용자들의 주의가 필요하다.

안랩 시큐리티대응센터(이하 ASEC)는 “이번에 발견된 악성 파일이 첨부된 스팸 메일은 기존 스팸 메일과 유포 형태는 크게 차이가 없지만, HSBC은행은 국내에도 다수의 지점이 운영되고 있으며, 이에 따른 피해가 발생될 수 있어 해당 내용을 공유하고자 한다”고 밝혔다.

이 스팸 메일 제목은 ‘Payment Advice-Advice Ref:[B7734899]’와 같은 형태로 발송되며, 메일의 본문은 첨부된 ‘e-Advice’ 내용을 확인하라는 내용이다.

      ▲ 수신된 메일의 내용

첨부된 파일은 PDF 문서의 아이콘을 가지고 있다. 사용자의 폴더 옵션이 [알려진 확장자에 대한 숨김 설정]이 되어있는 경우라면 위와 같이 확장자가 보이지 않아 사용자는 PDF 문서로 판단하고 파일을 실행, 감염될 수 있다. 파일을 열어보면, 아래와 같이 윈도우 실행 파일(PE) 형태인 것을 확인할 수 있다.

     ▲ 파일 내부 확인

파일이 실행되어 악성코드에 감염되면 추가적으로 아래의 파일이 생성된다.

[파일생성]

-%TEMP%\624765.exe

-%AppData%\Ciria\izdoes.exe

-%TEMP%\637046.exe

-%TEMP%\659875.exe

-%TEMP%\682343.exe

또한, 시스템 재 시작 시에도 동작할 수 있도록 아래의 값을 레지스트리에 등록한다.

[레지스트리 등록]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{1593167F-6E50-AD40-5B87-53325B9F7020}

"C:\Documents and Settings\Administrator\Application Data\Ciria\izdoes.exe"

감염 시 아래의 경로로 접속을 시도한다.

-64.34.***.***:8080/pon***/gate.php

-94.32.***.***/pon***/gate.php

-116.122.***.***:8080/pon***/gate.php

-hepcsupport.net/pon***/gate.php

그리고 아래의 경로를 통해 추가적인 파일을 다운로드하고, 실행한다.

-www.300******websites.com/****cEhB.exe

-1787****.sites.****registeredsite.com/***AeL.exe

-heermeyer-i*********.de/**u4.exe

-15******.webhosting*****.de/**2LLnfS.exe

ASEC 측은 “국제 운송업체, 은행 등으로 위장해 악성코드를 유포하는 스펨 메일은 과거부터 지속적으로 발생되고 있으나, 여전히 주요한 보안위협으로 이용되며 피해사례 또한 꾸준하게 발생되고 있다”면서 “이에 발신인이 명확하지 않거나, 첨부파일이 포함된 메일은 각별한 주의가 필요하다”고 강조했다.

V3 제품에서는 아래와 같이 진단이 가능하다.

-Trojan/Win32.Tepfer

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>