본문 바로가기
AhnLab News

2008.12.03 안철수연구소, 크리스마스 판촉 이벤트 가장한 웜 주의보

by 보안세상 2020. 3. 24.

promotion.zip 파일 열지 마세요~
   
안철수연구소(대표 김홍선, www.ahnlab.com)는 크리스마스 시즌을 앞두고 코카콜라, 맥도날드 등 기업의 판촉 이벤트를 가장한 웜이 외국에서 유포되고 있어 사용자의 유의가 필요하다고 밝혔다.
 
이 웜은 메일로 전파되며, 첨부된 ZIP 파일의 압축을 풀고 생성된 파일을 실행할 경우 감염된다. 발신자 주소는 noreply@coca-cola.com, giveaway@mcdonalds.com, postcards@hallmark.com 중 하나이며, 수신자 주소는 감염된 컴퓨터에 저장된 주소록에서 임의로 선택된다. 메일 제목은 ‘Mcdonalds wishes you Merry Christmas!’, ‘Coca Cola is proud to accounce our new Christmas Promotion.’, ‘You've received A Hallmark E-Card!’ 중 하나이며, 첨부 파일명은 coupon.zip, promotion.zip, postcard.zip 중 하나이다. 첨부 파일의 압축을 풀면 postcard.exe, coupon.exe, promotion.exe 등 7개 중 한 개의 파일이 생성되고, 아이콘은 눈사람 모양이다.
 
이 EXE 파일을 실행하면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 vxworks.exe로 자신의 복사본을 생성하고, 다른 변형인 qnx.exe(Win32/Ceein.worm.157184) 파일을 생성한다. 그리고 콜라 값을 할인해준다는 내용의 팝업 창을 생성해서 컴퓨터 사용자를 정상 파일로 착각하게 만든다.
 
그리고 인터넷 익스플로러를 실행해서 특정 주소로 접속해 감염된 컴퓨터의 IP를 조회한다. 그 후 레지스트리에 특정 키 값을 생성해 윈도 운영체제에 탑재된 방화벽을 우회한다.
 
안철수연구소의 무료 백신 ‘V3 Lite’와 PC주치의 개념 고품격 유료 보안 서비스인 ‘V3 365 클리닉’ 등의 V3 제품군은 이 악성코드를 ‘씨인.449024(Win32/Ceein.worm.449024)’ 웜으로 진단하며 최신 버전으로 진단/삭제할 수 있다.
 
안철수연구소 시큐리티대응센터(ASEC) 조시행 상무는 “크리스마스와 연말연시를 맞아 사용자를 현혹하는 악성코드가 잇달아 등장할 것이다. 이메일에 첨부된 파일을 함부로 열지 말고 백신 프로그램을 설치해 최신 버전으로 유지하는 동시에 실시간 감시 기능을 항상 켜두는 것이 안전하다. 아울러 윈도 운영체제의 보안 패치를 모두 적용해야 한다.”라고 강조했다.