본문 바로가기
AhnLab 보안in

가짜 MS 아웃룩 업데이트 메일 유포 주의

by 보안세상 2020. 4. 8.

2009.06.25

 

최근 마이크로소프트 아웃룩 업데이트 메일로 위장한 악성코드가 국내 유입된 한편, 월드페이(WorldPay) 신용카드 결제 메일로 위장한 악성코드가 해외에서 발견돼 주의가 필요합니다.

 

 MS 아웃룩 업데이트 메일로 위장한 것은 이메일 제목은 아래와 같습니다.

Critical Update for Microsoft Outlook
Install Update for Microsoft Outlook
Microsoft Outlook Critical Update
Update for Microsoft Outlook
Microsoft has released an update for Microsoft Outlook


등이며, 본문은 'MS 아웃룩 및 아웃룩 익스프레스의 업데이트를 위해 officexp-KB910721-FullFile-ENU.exe 파일을 실행하라'는 내용입니다. 

문제의 officexp-KB910721-FullFile-ENU.exe 파일은 ‘제트봇’ 변형(Win-Trojan/Zbot.81920.C)으로 특정 인터넷 사이트에서 다른 악성코드를 내려받는 다운로더의 기능이 있습니다.

 


처음에는 officexp-KB910721-FullFile-ENU.exe 파일이 이메일에 첨부되어 유포됐으나, 최근에는 해당 파일을 다운로드할 웹사이트 URL이 링크돼 유포되고 있습니다. 이 웹사이트는 악의적인 iframe 코드가 삽입되어 사용자 PC에 취약점이 있는 경우 이를 이용해서 악성코드를 설치하기도 합니다.

한편,  신용카드 결제 메일로 위장한 악성코드는 이메일 제목이 ‘WorldPay CARD transaction Confirmation’이며 Worldpay_NR9772.zip 파일이 첨부돼 있습니다. 이 파일의 압축을 풀면 Worldpay_NR9772.exe 등의 파일이 생성되는데, 이 파일 또한 제트봇’ 변형(Win-Trojan/Zbot.88576.D)입니다.

 

따라서 사용자들은 피해를 막기 위한 방법은 아래와 같습니다.

1. 유명 업체를 사칭해 이메일을 보내 악성코드를 유포하는 것은 전형적인 수법입니다. 위와 같은 수상한 이메일을 받으면 즉시 삭제해야 합니다. 
2. MS사에서는 업데이트 관련해 개별 메일을 발송하지 않고 윈도우 보안센터와 보안 업데이트 사이트에 공지하므로 유의해야 한다.
3. V3 365 클리닉, V3 Lite, V3 IS 2007/7.0/8.0 및 V3 Net 등 V3 제품군으로 ‘제트봇’ 악성코드를 진단/치료할 수 있습니다. 또한 V3 제품군의 실시간 감시를 켜두는 것이 중요합니다.