본문 바로가기
AhnLab 보안in

G20 이슈를 악용한 악성코드 스팸 메일 주의

by 보안세상 2020. 4. 10.

2010.11.11

 

G20 정상회의라는 사회적, 국가적 큰 이슈를 악용하여 사회공학적(Social Engineering) 기법으로 악성코드를 유포하려는 사례가 발견되어 주의가 필요합니다

1. 분석 내용

‘G20 Issues paper’ 라는 제목으로 마치 G20 관련 문서가 포함된 메일인 것처럼 위장하고, 수신자가 메일에 포함된 링크를 클릭하면 MS워드문서로 위장한 악성코드가 담긴 압축파일이 다운로드 받게 됩니다.

해당 악성코드 내부에는 EXE 파일과 DOC 문서가 포함되어 있어 해당 악성코드 파일을 실행하며 사용자가 문서 파일을 연 것으로 착각하도록 워드(DOC) 문서가 실행됩니다. 그리고 추가로 내부에 포함된 EXE 파일도 같이 실행이 됩니다. 상세한 내용은 아래와 같습니다.

 

1) 실행 시 아래와 같이 위장용 MS 워드 문서가 나타납니다.

2) 아래와 같은 파일이 생성됩니다.

‘Korean G20 Development Issue Paper.doc’ 파일이 위 그림에서 나타나는 문서입니다. 그리고 Run 레지스트리에 Wininet.exe 파일을 등록하여 시스템 재부팅 시 자동으로 실행이 되도록 합니다.

2. 대응 현황

현재 V3 Lite를 비롯한 V3 365 클리닉, V3 Internet Security 8.0 등의 V3 제품군에서는 아래와 같이 진단하고, 치료합니다.

-      V3 엔진버젼: 2010.11.10

-      진단명 : Dropper/Agent.77980,
                     Win-Trojan/Downloader.25434.C



다음의 방법을 통해 사전에 악성코드를 예방해 안전한 PC 이용을 하시기 바랍니다.

3. 
악성코드 예방법

1) 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.

2) 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.

3) 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.

4) 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

<Ahn>