[보안뉴스 김경애] 시티은행을 위장한 스팸메일이 등장해 사용자의 주의가 요구된다. 파워 블로거 ‘울지 않는 벌새’에 따르면 시티은행을 위장한 메일에 첨부된 MS Word 문서(.doc)를 열어볼 경우 악성코드 감염을 유발하는 ‘Merchant Statement’가 있다는 것. 해당 메일이 다수의 국내 사용자에게 전파되고 있다고 밝혔다.

호기심 많은 사용자가 해당 doc 문서 파일을 실행하면 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\vc.doc 파일을 생성하여, MS Word 프로그램을 통해 ERROR 327 - CONTENT COULD NOT BE RENDERED IN YOUR VERSION OF OFFICE 내용만을 출력한다.

이 과정에서 MSCOMCTL.OCX RCE 취약점(CVE-2012-0158)을 이용하여 백그라운드 방식으로 악성파일이 설치되는 동작이 이루어지며, 해당 취약점은 마이크로소프트(Microsoft) 2012년 4월 보안 업데이트를 통해 패치가 이루어진 상태라고 벌새는 설명했다.
 

감염 과정을 살펴보면 악성 doc 문서 파일을 실행할 경우, C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\paw.exe 파일(MD5 : de758daf63d0f125cdf86a2f51fc9e1e)을 생성하고 자가 삭제 처리된다.

생성된 파일은 Dell, Inc 속성 값을 갖고 있는 것이 특징이며, 감염시 마이크로소프트(Microsoft) 관련 폴더에 주소록(Address Book) 관련 파일을 생성해 차후 스팸 메일 전송 등에 악용할 소지가 있다고 벌새는 지목했다.

설치된 악성파일은 자신을 시작 프로그램(Run)에 등록하여 시스템 시작시 자동 실행하도록 구성되어 있으며, Windows 방화벽에 특정 TCP/UDP 프로토콜 포트를 추가해 차단되지 않도록 등록하는 것으로 알려졌다.

이를 통해 시스템 시작 시마다 국내외 다수 IP로 통신을 시도하는 동작을 확인할 수 있으며, 특이한 점은 μTorrent 전송 프로토콜 방식을 이용하는 것으로 보인다고 벌새는 설명했다.

그러면서 그는 ZBot 계열 악성코드는 대량의 스팸메일을 발송해 주소록에 등록된 개인정보 수집, FTP 계정 정보 수집 등 다양한 악의적 행위를 할 수 있으므로 주의할 것을 당부했다.

최근 안랩에서 공개한 AhnLab V3 Lite Preview 무료 백신 제품에서는 악성파일에 대한 정식 진단은 이루어지지 않고 있지만, 이번에 새롭게 추가된 MDP 보안기능을 통해 사용자가 악성 doc 문서파일을 실행할 경우 Dropper/MDP.Exploit 진단명으로 생성된 관련 파일 및 문서 파일을 일괄적으로 삭제하는 동작을 통해 시스템을 보호하고 있는 것을 확인할 수 있다고 벌새는 설명했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>