[스크랩]애플 아이튠즈 상품권 메일 위장한 악성코드 주의보! 본문

[심심풀이]/읽고 넘어가자.

[스크랩]애플 아이튠즈 상품권 메일 위장한 악성코드 주의보!

객과 함께. 2010. 5. 13. 09:31
애플 아이튠즈 상품권 메일 위장한 악성코드 주의보!
안철수연구소 | 2010-05-10

안철수연구소는 최근 ASEC Threat Research(http://blog.ahnlab.com/asec) 블로그를 통해 애플에서 운영하는 아이튠즈 상품권 메일로 위장한 Bredolab 변형이 유포되고 있다고 발표했다.


아이튠즈 상품권으로 위장한 Bredolab 변형 (진단명: Win-Trojan/Bredolab.51200.D)은 다음과 같은 메일의 형식으로 유포되며 아이튠즈의 50달러 상품권을 받게 되었으니 첨부된 파일을 통해 인증 코드를 확인하라는 내용으로 되어 있다.


* 메일 발신 주소
customer.service@itunes.com

* 메일 제목
Thank you for buying iTunes Gift Certificate!

* 메일 본문
Hello!
You have received an iTunes Gift Certificate in the amount of $50.00
You can find your certificate code in attachment below.
Then you need to open iTunes. once you verify your account, $50.00 will be credited to your account, so you can start buying music, games, video right away.
iTunes Store.

* 첨부 파일
iTunes_certificate_(임의의 3자리 숫자).zip

압축을 풀어 파일을 실행하면 윈도우 시스템에 있는 정상적인 svchost.exe파일을 임의로 실행시킨 후 해당 프로세스의 메모리 영역에 자신의 코드 일부를 삽입하여 스위스에 위치한 시스템으로 접속을 시도한다. 이 시도가 성공하게 되면 미국에 위치한 다른 시스템으로부터 해당 시스템에 다른 악성코드 변형을 다운로드하라는 명령을 전달받고 이를 수행하게 된다.


이 악의적인 코드가 삽입된 정상 svchost.exe 파일들은 독일, 미국, 네덜란드, 캐나다 등에 위치한 메일 서버들을 접속하여 개별적으로 대량의 메일 전송을 시도하게 되며 악성코드가 첨부된 동일한 형태의 전자 메일들을 대량으로 발송하게 된다.


안철수연구소 ASEC 분석1팀 장영준 선임 연구원은 “개인 사용자가 해당 악성코드에 감염되면 시스템과 네트워크가 느려지게 되며 다른 악성코드들에 의한 추가적인 감염이 발생하고 스팸메일 발송에 시스템이 사용 되므로 각별한 주의가 필요하다”고 말했다.


안철수연구소는 이 악성코드에 대한 진단 치료 기능을 V3 365클리닉, V3 Lite에서 제공하고 있다.@


전자메일을 통한 악성코드 감염 예방법
 
1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.
 
2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.
 
3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.
 
4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
 
5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
 
6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.


이에 대한 자세한 내용은 ASEC Threat Research 블로그의 애플 아이튠즈 상품권 메일로 위장한 Bredolab 변형(http://blog.ahnlab.com/asec/316)에서 더욱 자세히 볼 수 있습니다.

| 인터넷사업팀 성언영

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로 무단 도용 및 배포를 금합니다.