본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

유명 업체를 가장한 영문 스팸과 악성코드 주의

보안공지 2010-02-03

안녕하십니까? 이스트소프트 알약 보안대응팀입니다.


최근 해외 유명 업체들을 사칭한 영문 스팸메일이 증가하고 있습니다. 구글의 채용, 트위터의 초대장, Hallmark 전자 카드 도착 메일, hi5 친구 맺기 내용으로 위장한 것이 특징이며 이 스팸메일에 첨부된 파일은 윈도우 시작시 자동실행, 시스템 설정 변경, 이동식 디스크 (USB 메모리 등) 감염, 키로거(KeyLogger) 등의 기능을 수행하는 악성코드 입니다. 이미 알약에서는 V.WOM.Prolaco.cr, V.TRJ.Tatters-A라는 진단명으로 업데이트를 완료해 현재는 해당 악성코드에 대한 진단 및 치료가 가능하며 실시간 감시를 통해 충분히 예방 가능합니다. 또한, 계속 출현할 수 있는 변종에 대해서도 긴급 업데이트를 실시하고 있으니 항상 알약의 최신 DB 사용을 권장합니다.



스팸메일 1

스팸메일 2

스팸메일 3

스팸메일 4

<해외 유명 업체를 사칭해 발송하는 스팸메일들>


 

[감염증상]


- 아래의 경로에 악성코드 파일 복사
WINDOWS\system32\GoogleUpdate.exe
WINDOWS\system32\stacsv.exe
Documents and Settings\USER\Application Data\SystemProc\lsass.exe


- 아래의 경로에 레지스트리 값 추가
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4207UWF4-
IXEP-UTPF-2TDE-6606643L1T10}


- 오류보고 서비스, 윈도우 보안 센터 서비스 종료 및 레지스트리 제거
- 악성코드 프로세스 숨김
- 이동식 디스크를 감염시키기 위한 autorun.inf와 실행 파일 생성
- 키로거 기능
- 스팸 메일 발송


[제거 방법]


현재 알약에서는 해당 악성코드를 V.WOM.Prolaco.cr과 V.TRJ.Tatters-A로 진단하고 있으며, 제거가 가능합니다.
이미 V.WOM.Prolaco.cr과 V.TRJ.Tatters-A에 감염된 PC에서는 반드시 알약을 설치하여 최신DB로 업데이트 한 후 수동으로 검사를 실시해야합니다.


[예방 방법]


1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.
3) "Jessica would like to be your friend on hi5!"
"You have received A Hallmark E-Card!"
"Thank you from Google!"
"Your friend invited you to twitter!"
위의 4가지 제목으로 작성된 메일은 되도록 클릭하지 말고 삭제하며, 첨부파일은 절대로 실행하지 않습니다.