통합보안 전문업체인 잉카인터넷(대표 주영흠 www.inca.co.kr/www.nprotect.com)의 시큐리티 대응팀은 기존의 웜과는 다르게 e-mail에 정상파일과 같이 첨부되어 사용자가 열어보도록 유도하는 웜을 발견하였으며, 이에 따른 각별한 주의가 필요 하다고 밝혔다.

2007년 6월 27일 국내에 보고된 이 웜은 Your Information 이라는 이름의 제목으로 발견되었다. 기존의 이메일 웜과는 좀 다르게 첨부파일이 다수 포함되어 있어 메일 용량이 약 420K 정도로 큰 편이다.

메일 본문에는 아래와 같은 내용을 포함시켜 사용자가 첨부파일을 최대한 신뢰하도록 만들고, 정상 문서파일과 함께 있는 악성코드를 열어 보도록 유도한다. 보통 이러한 방식을 사회공학적 기법이라 말한다.

첨부파일에는 3가지 파일명의 PDF(Portable Document Format)문서가 존재하는데, 모두 정상적인 파일들로 내부에는 물품 배송관련(Invoice) 가격 문서 내용을 가지고 있다. 사용자는 이러한 정상 문서를 순차적으로 열어보는 과정에서 함께 첨부되어 있는 악성코드를 무심코 실행시킬 수 있다.

일반적으로 E-Mail 의 첨부파일을 통해서 유포되는 악성 웜 파일은 독립적으로 존재하는 경우가 많기 때문이다.

다음은 실제 국내에 유입된 E-Mail 내용의 화면이다.

Grouped.pdf, Manual_Invoice.pdf, WriteDown.pdf 첨부파일은 모두 정상적인 문서내용을 담고 있으며, 마지막에 보이는 access.exe 파일이 악성 웜 파일이다.

3가지의 PDF 문서파일은 모두 정상적으로 열리고, 비슷한 내용을 담고 있다. 또한 문서 내부에는 특정 회사의 이름과 Domain, 이메일 주소 등을 볼 수 있는데, 확인해 본 결과 현재 해당 사이트는 정상적인 웹 서비스를 하고 있지는 않았다.

각각의 PDF 문서는 아래와 같은 내용들을 담고 있다.

1. Grouped.pdf
2. Manual_Invoice.pdf
3. WriteDown.pdf

Access.exe 파일은 TXT 문서 아이콘을 가지고 있기 때문에 동일한 문서파일로 착각하기 쉬어 사용자가 쉽게 실행을 하게 될 가능성이 높은 편이다.

사용자가 웜 파일을 실행하게 되면 Error 라는 메시지 창이 화면에 출력된다. 이는 사용자로 하여금 파일이 정상적으로 실행되지 않은 것처럼 속이기 위한 악성프로그램의 실행과정 중에 하나이며, 정상적으로 E-Mail 웜 기능이 시작된 것이다.

오류 메시지 창이 출력된 후에 시스템 폴더에 다양한 이름의 웜 파일을 다수 생성시키며, 특정 사이트에서 다양한 웜 변종을 추가로 다운로드 하여 실행한다.

이 웜에 감염될 경우에는 E-Mail 발송으로 인하여 인터넷 속도가 저하될 수 있으며, 자신의 주변사람들에게 악성프로그램을 유포시킬 수 있다. 또한 추가적인 악성코드 설치로 인하여 예상치 못한 다양한 피해가 발생될 수 있다.

이처럼 확인되지 않은 내용을 가지고 있거나 신뢰할 수 없는 E-Mail 등이 수신될 경우, 특히 첨부파일이 존재할 경우에는 실행 전에 각별히 주의하는 것이 필요하겠다.

기사 내용과 관련이 없는 글, 욕설을 사용하는 등 타인의 명예를 훼손하는 글은 관리자에 의해 예고없이 임의 삭제될 수 있으므로 주의하시기 바랍니다. 댓글 작성 시 상대방에 대한 배려와 책임을 담아주세요.

• 닉네임
• 비밀번호
• 
• 도배방지 입력