본문 바로가기
AhnLab 보안in

날씬해지고 싶었을 뿐인데…내가 악성코드 유포자라고?

by 보안세상 2020. 4. 10.

2011.01.07

 

나른한 오후, 업무에 집중도 안되고 졸음이 밀려오던 H양은 친한 선배로부터 메신저로 메시지를 받고 두 눈이 번쩍 뜨였습니다. 평소의 반듯하고 깔끔한 선배의 이미지와는 달리 조금은 이상한 내용의 메시지를 보낸 것이지요. 그래도 잘 알고 지내는 사이이므로 무슨 내용일지 궁금한 마음에 H양은 선배가 보낸 URL을 클릭해 봅니다.

역시 평소에 패션에 관심이 많은 선배답게 "55사이즈로 변신하는 코디법 대공개"라는 주제의 잡지 내용을 보냈네요. 그렇지 않아도 날씨가 추워지니 운동도 귀찮아지고 몸무게가 늘어서 걱정이던 H양은 그 기사를 관심있게 읽어내려 가기 시작했지요.

[그림1] 잡지기사로 위장한 페이지

특히 유달리 튼튼한 하체때문에 평소에도 고민이 많았던 H양은 하체를 좀 더 날씬해보이게 하는 코디법에 관해 집중해서 읽고 있었습니다. 그러던 중, "?" 뜬금없이 <다운로드 더보기>라는 메시지가 나타납니다.

 

[그림 2] 잡지회사 기사로 위장한 페이지 하단의 링크

"에이~, 보여 줄거면 다 보여주지!!" 나머지 내용이 궁금해 클릭을 해봤더니 다음과 같은 다운로드 메시지가 나왔습니다.

[그림 3] 링크 클릭시 파일 다운로드

시키는대로 다운로드를 받고 압축파일을 해제했더니 실행파일만 덩그러니 나타나고 특별히 별다른 내용이 없었습니다. “이게 뭐야~!” H양은 괜히 시간만 버렸다는 생각에 기사 내용은 잊고 하던 업무를 계속 하기로 합니다.

 

 

그러고 난 며칠 후, 친한 친구들과 선후배로부터 난데없는 항의 메시지가 빗발치기 시작합니다. H양이 보낸 URL을 클릭하면 잘못하다 컴퓨터에 악성코드 깔린다면서, 대체 왜 이런걸 보냈냐며 난리였던 것이지요. 그런데 우리 H. 그 누구에게도 메시지나 URL도 보낸 적이 없었습니다. 대체 어떻게 된 일일까요?


잡지기사로 위장하여 악성코드 감염 유도


안철수연구소 ASEC 대응팀은 최근 메신저를 통해 URL을 유포하는 사회 공학 (Social Engineering)기법을 이용한 악성코드 유포 사례가 발견되었으므로, 사용자들의 특별한 주의가 요구된다고 밝혔습니다.


메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 위의 사례처럼 [그림1]과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동한다는 것입니다.


또한 [그림2]처럼 해당 기사 하단 부분의 "다운로드 더보기... "를 클릭할 경우, 악성코드가 압축된 rar 파일을 다운로드하게 되며 이를 압축 해제한 후 파일을 실행하게 되면 악성코드에 감염되게 됩니다.


이러한 과정으로 감염된 악성코드가 실행되면 메신저 사용자 계정을 포함한 다수의 온라인 게임 사용자 계정정보를 탈취하게 됩니다. , 해당 악성코드가 실행 중인 상태에서는 사용자가 악성코드 감염사실을 알아채지 못하므로 메신저에 로그인하거나 온라인 게임 사이트에 접속해 로그인할 때 입력한 정보를 탈취하는 방식을 띠고 있습니다.


현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하며, 항상 최신 엔진버전으로 유지하는 것이 중요합니다.


 Win-Trojan/Agent.55296.JV (
진단/치료버전:2010.12.24.00)

1) V3 제품 엔진을 항상 최신으로 유지하며 실시간 감시 기능을 사용하도록 한다.
2) 
발신자가 불분명한 이메일은 열어보지 않도록 한다.
3) 
수상한 웹사이트 링크는 클릭하지 않도록 한다.
4) 
윈도우 보안 업데이트 및 Adobe 관련 프로그램(Flash, Adobe Reader)을 최신버전으로 유지한다.

더욱 자세한 내용은 http://core.ahnlab.com/243에서 확인하실 수 있습니다.

이 글은 안철수연구소 홈페이지 안랩닷컴

보안정보 / 보안, 뉴스와 이슈 / 보안 이슈&이슈

“날씬해지고 싶었을 뿐인데, 내가 악성코드 유포자라고?”

에서도 접하실 수 있습니다. Ahn