2012.03.05
안녕하세요. 안랩인입니다. 국내 패스트푸드 업체를 위장한 홍보 메일에 악성코드 다운로드 링크가 포함되어 유포되는 것이 발견되었습니다. 메일 분문에는 업체 홍보 내용과 악성코드 유포 URL이 포함되어 있고, ‘프리미엄 환불 서비스’라는 호기심을 유발하는 내용과 국내 사이트라는 점을 간과해서 무의식적으로 해당 링크를 클릭할 수 있어 주의가 필요합니다.
그림 1. 악성코드 유포 메일 원문
메일 본문에 포함되어 있는 링크(hxxp://www.t******.kr/mail/***_Service01.html)를 클릭하면 Java applet이 실행되면서 보안 경고창(그림 3)이 나타나는데, 이때 실행을 클릭하면 악성 파일(hxxp://www.t******.kr/mail/xyz.exe)을 다운로드 받아 실행하고 국내 유명 패스트푸드 사이트로 리다이렉트 됩니다.
그림 2. 악성코드 유포 URL 스크립트
그림 3. Java applet 실행 보안 경고
Java Applet에 의해 실행되는 Signed_Update.jar 코드에는 악성코드 유포 사이트의 파라미터 정보를 받아 실행되도록 구성되어 있는데, 특이한 점으로 해당 사이트에 접속한 시스템이 WINDOWS, MAC 및 LINUX와 같은 운영 체제인지 구분해서 코드가 실행되도록 되어 있습니다. 그러나 다운로드 되는 파일은 윈도우에서만 동작하는 파일이고, 윈도우가 아닌 다른 운영 체제에 설치되는 악성 파일에 대한 다운로드 URL은 존재하지 않았습니다. <Ahn>
* 더 자세한 내용은 ASEC홈페이지를 참고하세요.
'AhnLab Inside' 카테고리의 다른 글
| 안랩의 RSA 2012 현장 속으로 ‘Design Your Security’ (0) | 2020.03.31 |
|---|---|
| 안랩, 중소기업용 보안 서비스 2종 출시 (0) | 2020.03.31 |
| 사진으로 보는 국제 컨퍼런스 현장 속 안랩 (0) | 2020.03.31 |
| 모든 IT 전문가가 마스터해야 할 10가지 비즈니스 기술 (0) | 2020.03.31 |
| 안랩에서 말하는 내 스마트폰의 권한찾기 (0) | 2020.03.31 |
