'다운로더'에 해당되는 글 2

  1. 2009/06/25 가짜 MS 아웃룩 업데이트 메일 유포 주의 (2)
  2. 2009/03/17 웹사이트 통해 유포되는 악성코드 매달 2배씩 급증 (2)

가짜 MS 아웃룩 업데이트 메일 유포 주의

AhnLab 보안in 2009/06/25 07:30

최근 마이크로소프트 아웃룩 업데이트 메일로 위장한 악성코드가 국내 유입된 한편, 월드페이(WorldPay) 신용카드 결제 메일로 위장한 악성코드가 해외에서 발견돼 주의가 필요합니다.

 MS 아웃룩 업데이트 메일로 위장한 것은 이메일 제목은 아래와 같습니다.

Critical Update for Microsoft Outlook
Install Update for Microsoft Outlook
Microsoft Outlook Critical Update
Update for Microsoft Outlook
Microsoft has released an update for Microsoft Outlook



등이며, 본문은 'MS 아웃룩 및 아웃룩 익스프레스의 업데이트를 위해 officexp-KB910721-FullFile-ENU.exe 파일을 실행하라'는 내용입니다. 

문제의 officexp-KB910721-FullFile-ENU.exe 파일은 ‘제트봇’ 변형(Win-Trojan/Zbot.81920.C)으로 특정 인터넷 사이트에서 다른 악성코드를 내려받는 다운로더의 기능이 있습니다.

사용자 삽입 이미지

처음에는 officexp-KB910721-FullFile-ENU.exe 파일이 이메일에 첨부되어 유포됐으나, 최근에는 해당 파일을 다운로드할 웹사이트 URL이 링크돼 유포되고 있습니다. 이 웹사이트는 악의적인 iframe 코드가 삽입되어 사용자 PC에 취약점이 있는 경우 이를 이용해서 악성코드를 설치하기도 합니다.

한편,  신용카드 결제 메일로 위장한 악성코드는 이메일 제목이 ‘WorldPay CARD transaction Confirmation’이며 Worldpay_NR9772.zip 파일이 첨부돼 있습니다. 이 파일의 압축을 풀면 Worldpay_NR9772.exe 등의 파일이 생성되는데, 이 파일 또한 제트봇’ 변형(Win-Trojan/Zbot.88576.D)입니다.

따라서 사용자들은 피해를 막기 위한 방법은 아래와 같습니다.

1. 유명 업체를 사칭해 이메일을 보내 악성코드를 유포하는 것은 전형적인 수법입니다. 위와 같은 수상한 이메일을 받으면 즉시 삭제해야 합니다. 
2. MS사에서는 업데이트 관련해 개별 메일을 발송하지 않고 윈도우 보안센터와 보안 업데이트 사이트에 공지하므로 유의해야 한다.
3. V3 365 클리닉, V3 Lite, V3 IS 2007/7.0/8.0 및 V3 Net 등 V3 제품군으로 ‘제트봇’ 악성코드를 진단/치료할 수 있습니다. 또한 V3 제품군의 실시간 감시를 켜두는 것이 중요합니다.

Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2009/06/25 07:30 2009/06/25 07:30
TAG , , , , , , , , , , , , , ,
3 Trackbacks | 2 Comments

웹사이트 통해 유포되는 악성코드 매달 2배씩 급증

AhnLab 뉴스 2009/03/17 10:02
안철수연구소는 최근 들어 보안에 취약한 웹사이트에서 유포되는 악성코드가 수가 매달 약 2배씩 급증하고 있다고 발표했습니다. 

안철수연구소 시큐리티대응센터(ASEC) 보고서에 따르면 보안에 취약한 웹사이트에서 유포된 악성코드 수가 작년 12월에는 69,964개였으나 올해 1, 2월에는 각각 138,505개, 192,433개로 약 2배씩 급증했습니다. 또한 악성코드가 유포되는 웹페이지 수는 작년 12월에 4,134개였으나 올해 1, 2월에는 각각 6,494개, 10,135개로 매달 약 1.6배씩 증가했습니다. 

이렇게 웹 상에서 유포되는 악성코드 중 비중이 가장 높은 것은 스파이웨어 종류로 42.5%에 달하고 있습니다. 이러한 스파이웨어는 광고 창을 무작위로 띄우거나 특정 웹사이트로 접속을 유도하는 행위를 하고 있습니다.

다음으로 PC에 설치돼 다른 악성코드를 내려받는 프로그램인 다운로더가 20.5%로 뒤를 이었습니다.  이는 계속 증가하는 수많은 변형을 무차별적으로 배려받도록 하기 위해 악성코드 제작자들이 전용 다운로더를 지속적으로 만들기 때문인 것으로 추정됩니다. 또한 개인 정보를 유출하거나 DDoS 공격(분산서비스거부 공격)에 이용되는 트로이목마도 14.3%로 높은 비중을 차지했습니다. 

또한 가장 많이 발견된 개별 악성코드는 내비게이트어시스터(Win-Downloader/NavigateAssister.282624), 숏컷.아이콘조이(Win-Adware/Shortcut.IconJoy.642048), 온클럽(Win-Adware/Onclub.446464) 순이며, 이 셋이 전체의 45.4%를 차지했습니다.   ‘내비게이트어시스터’는 사용자 동의 절차 없이 설치되어 인터넷 익스플로러의 주소 표시 줄 아래에 ‘즐겨찾기’와 유사한 창을 보여주고 사용자의 클릭을 유도합니다.  ‘숏컷.아이콘조이’는 사용자 동의 없이 웹사이트의 바로가기를 설치하고 방문을 유도하며, ‘온클럽’은 사용자 동의 없이 설치된 후 역시 사용자 동의 없이 추가로 다른 프로그램을 다운로드하며, 제거 방법을 제공하지 않습니다. 

웹을 통해 확산되는 악성코드에 감염되지 않으려면 사용자는 방문하는 웹사이트가 신뢰할 수 있는 곳인지 유의하고 운영체제나 응용 소프트웨어의 보안 패치를 항상 적용해야 합니다.  또한 보안 프로그램을 설치해 최신 버전으로 유지하는 것도 중요합니다. 위험 사이트 차단용 무료 보안 서비스인 ‘사이트가드’를 사용하거나, 구글 검색을 이용하게 되면 위험한 웹사이트 접속을 예방할 수 있습니다.  무엇보다 각 웹사이트 관리자는 자사의 웹사이트가 악성코드 확산의 경로로 악용되지 않도록 보안 패치 및 정기 점검 등을 지속해야 할 것입니다.


Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2009/03/17 10:02 2009/03/17 10:02
TAG , , , , , , , ,
0 Trackbacks | 2 Comments
1