안랩에서 알려주는 정부 기관으로 위장한 스팸 메일!

2012.06.12

 

안녕하세요. 안랩인입니다. 최근 정부 기관 및 학회에서 발송된 메일로 위장한 스팸 메일이 유포되고 있어 사용자들의 주의가 요구되고 있습니다.

 

[그림 1] 악성 PDF 문서가 첨부된 메일

 

 

해당 메일에 첨부된 PDF 문서는 특정 기관에서 배포한 정상 문서로 위장하고 있으며, 비밀번호까지 설정돼 있어 사용자가 별다른 의심 없이 실행할 가능성이 큽니다.

 

 

[그림 2] 악성 PDF 문서

 

 

스팸 메일에 첨부된 PDF 문서를 실행하면 악의적인 기능을 수행하는 DLL 파일이 생성되고, 시스템 시작 시 자동 실행되도록 레지스트리에 값을 등록합니다.

 

 

[그림 3] 생성된 악성 DLL 파일

 

 

[그림 4] 레지스트리 등록 정보

 

 

이 악성 파일은 [그림 5]의 URL로 접속을 시도하지만, 현재는 해당 링크 및 접속 IP가 유효하지 않아 증상 재현이 불가능했습니다.

 

[그림 5] 네트워크 정보

 

 

이러한 형태의 악성코드에 감염되지 않기 위해서는 불분명한 발신자가 보낸 메일과 의심스러운 첨부 파일을 주의해야 합니다. 또한, 최신 엔진으로 업데이트한 보안 제품으로 파일을 검사하여 이상이 있을 경우 보안 업체에 신고해야 합니다. 마지막으로 윈도우 보안 패치를 항상 최신으로 유지하여 각종 취약점을 예방하는 것이 중요합니다. <Ahn>

* 더 자세한 내용은 안랩홈페이지를 참고하세요.