G20 정상회의를 악용한 악성스팸메일에 주의하시기 바랍니다.
■ 개요
11월 9일, G20 정상회의가 얼마 남지 않은 시점에, 이러한 사회적 이슈를 이용하는
Social Engineering 기법으로 악성코드를 전파시키는 악성스팸메일이 발견되어 주의가 필요합니다.
각급 기관에서는 악성코드 감염 피해가 발생하지 않도록 각별히 주의해주시기 바랍니다.
■ 내용
- 전파경로
해당 악성코드는 ‘G20 Issues paper’ 라는 제목의 G20 관련 문서가 포함된
메일로 위장하여 전파되며, 메일에 포함된 미국 서버에 존재하는 링크를 클릭시
MS워드문서로 위장된 악성코드가 담긴 압축파일이 다운로드 됩니다.
-대응현황
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.
=========================================
엔진버전 : 2010.11.10.00
Dropper/Agent.77980
Win-Trojan/Downloader.25434.C
Dropper/Win32.Agent
=========================================
-악성코드 분석
해당 악성코드 내부에는 EXE 파일 및 DOC 문서가 포함되어 있습니다.
따라서 악성코드가 실행이 되면 사용자가 문서파일을 연거처럼 착각을
유도하도록 DOC 문서가 실행됩니다.
그리고 추가로 내부에 포함된 EXE 파일도 같이 실행이 됩니다.
1.실행 시 MS 워드 문서를 나타냅니다.
2.아래와 같은 파일이 생성됩니다.
C:RECYCLER 9907718.tmp
C:sampleKorean G20 Development Issue Paper.doc
C:DOCUME~1ADMINI~1LOCALS~1Temp~FO4A.tmp
C:DOCUME~1ADMINI~1LOCALS~1TempWininet.exe
C:DOCUME~1ADMINI~1LOCALS~1Temp st4B.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temp st4C.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temp st4D.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temp st4E.tmp
C:DOCUME~1ADMINI~1LOCALS~1Temp st4F.tmp
추가로 생성되는 파일중 Korean G20 Development Issue Paper.doc는 위 그림에서 나타나는 문서입니다.
그리고 Run 레지스트리에 Wininet.exe 파일을 등록하여 시스템 재부팅 시 자동으로 실행이 되도록 합니다.
■ 예방법
1.발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2.안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3.메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4.메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
5.`G20 Issues Paper` 제목으로 유입되는 메일 전량 차단 바랍니다.
6.www.fitzpatrickre.com 도메인 접속 차단해 주시기 바랍니다.
