참고 : [Fake Microsoft security update spreads Autorun worm]
http://nakedsecurity.sophos.com/2011/01/04/fake-microsoft-update-spreads-worm/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29
http://nakedsecurity.sophos.com/2011/01/04/fake-microsoft-update-spreads-worm/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29
2. 감염 경로 및 증상
하기의 그림과 같은 이메일을 통해 유포되고 있으며, "Udate your Windows"라는 제목을 가지고 있다.

또한, 메일 본문 내용을 살펴보면 첨부된 파일이 마치 윈도우 업데이트 관련 파일인 것 처럼 위장되어 있으며, 업데이트를 위해 파일에 대한 다운로드 및 실행을 유도하고 있다. 해외 보안 업체에 따르면 위 그림의 적색박스에서 보여지듯 Microsoft 소속의 실제 연구원 이름을 도용하고 있다고 한다.

첨부된 악성파일을 다운로드 하면 위 그림과 같은 ZIP 형태의 압축파일을 다운로드 받게 되며, 압축해제 시 동일한 파일명을 가지는 exe 파일을 확인할 수 있다. 해당 악성파일은 정상적인 윈도우 업데이트 관련파일과 유사한 파일명을 가지는 특징을 보인다.
해당 파일을 실행할 경우 하기와 같이 자신의 복사본 및 특정 파일이 숨김 속성으로 생성되며, 레지스트리 값을 수정하여 사용자들이 발견하기 힘들도록 처리한다. 또한, 현재 해당 악성파일 감염으로 인한 특별한 피해 사례는 보고되지 않고있다.
※ 감염 시 생성파일
(드라이버 루트)\SecurityUSB.2.8.exe (217,600 바이트)
(드라이버 루트)\boot.inf (43 바이트)
※ 레지스트리 값 수정
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
값 이름 : "Hidden"
값 데이터 : 0
※ 참고 사항
(드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\)
(드라이버 루트)\SecurityUSB.2.8.exe (217,600 바이트)
(드라이버 루트)\boot.inf (43 바이트)
※ 레지스트리 값 수정
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
값 이름 : "Hidden"
값 데이터 : 0
※ 참고 사항
(드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\)
3. 예방 조치 방법
이번에 보고된 이메일을 통한 악성파일 유포 건은 발신처 및 메일 본문의 내용을 정상적인 것 처럼 위장해 사용자를 속여 첨부 파일에 대한 다운로드 및 실행을 유도하는 사회공학적 기법을 악용한 사례이다.
이러한 사회공학적 기법을 악용하는 악성파일 유포로부터 안전하기 위해서는 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 유지해 사용하는 것이 중요하며, ▶발신처가 불분명한 메일의 열람이나 첨부 파일에 대한 다운로드를 자제하는 것은 물론 ▶출처가 신뢰할 수 있는 기관 등이라 해도 첨부 파일에 대한 다운로드는 신중을 기하는 사용자 스스로의 주의가 필요하다. 또한, ▶Microsoft에서는 윈도우에 대한 업데이트를 진행할 시 절대로 이메일 발송 등을 통해 진행하는 일은 없으니 이점에 유의하도록 해야 한다.
nProtect Anti-Virus 제품군에서는 이번에 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.
