← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

G20 정상회의 관련 내용으로 위장한 악성파일 출현!

지난 2010년 11월 1일 방송통신위원회에서 사이버위기 "관심" 경보를 발령한지 9일 만인 2010년 11월 10일 해외 보안업체로 부터 "G20 정상회의 관련 내용으로 위장한 악성파일이 등장"했다고 보고되었다. [ http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ - TrendMicro ] ◆ 역시나 등장한 G20 정상회의 관련

2010-11-10INCA Security Center
지난 2010년 11월 1일 방송통신위원회에서 사이버위기 "관심" 경보를 발령한지 9일 만인 2010년 11월 10일 해외 보안업체로 부터 "G20 정상회의 관련 내용으로 위장한 악성파일이 등장"했다고 보고되었다.

[ http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ - TrendMicro ]

◆ 역시나 등장한 G20 정상회의 관련 악성파일..

< 출처 : http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ >

위 그림과 같이 이메일에 첨부되어 있는 링크를 클릭하게 되면 Microsoft Word 문서파일로 위장된 악성파일을 내부에 포함하고 있는 G20IssuesPaper.zip 파일명의 압축파일을 다운로드 하게된다. 해당 악성파일에 감염되면 하기의 설명 및 그림과 같은 추가적인 악성파일을 생성한 후 윈도우 시작 시 마다 함께 실행될 수 있도록 레지스트리에 등록되게 된다.



◎ 감염 시 생성되는 파일

(사용자 임시 폴더)\Wininet.exe
C\RECYCLER\(숫자로 이루어진 임의의 파일명).tmp

◎ 레지스트리 등록값

HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\

이 름 : AdobeUpdate
데이터 : "(사용자 임시 폴더)\Wininet.exe"

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.


또한, 악성파일이 실행되게 되면 위 그림과 같이 G20 정상회의와 관련된 문서내용을 출력하여 사용자가 별다른 의심을 하지않도록 위장하는 특징을 가지고 있다.


nProtect Anti-Virus 제품군에서는 위 그림과 같이 현재 보고된 G20 정상회의와 관련한 악성파일에 대해 진단/치료 기능을 제공하고 있다.

또한, (주)잉카인터넷 NSC 대응팀에서는 지난글에서 밝힌바와 같이 방송통신위원회에서 발표한 사이버위기 "관심" 경보 발령과 발맞추어 24시간 비상대응체제를 유지해 혹시 모를 사이버공격에 대비할 예정이다.

[ http://erteam.tistory.com/52 - (주)잉카인터넷 NSC 대응팀 블로그]

사용자들은 위와 같은 정상파일로 위장한 악성파일에 감염되지 않기위해 사용중인 백신을 최신엔진 및 패턴버전으로 유지함과 동시에 실시간 감시 기능을 통해 악성파일의 유입을 차단해야한다. 또한, 수상한 메일의 열람이나 첨부파일 실행은 절대하지 말고 삭제하는 것이 사용자의 PC를 안전하게 지킬 수 있는 길이 될 수 있을것이다.