크리스마스 카드로 위장한 악성코드 국내 등장Posted : 2009-12-24 10:44 KST     이선호 기자 it@ibtimes.co.kr     잉카인터넷
  2009년 12월 23일 크리스마스 카드 내용으로 위장된 악성코드 이메일이 국내에 유입된 것이 발견되어 인터넷 사용자들의 각별한 주의가 필요하다.

[참고 자료] 연말연시와 관련된 신종 악성코드 감염 주의
http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=82

잉카인터넷 시큐리티 대응센터(ISARC)에서는 해당 악성코드에 대한 분석과 함께 치료기능이 포함된 업데이트를 제공할 수 있도록 긴급 대응이 진행 중에 있다.

국내에 유입된 것이 확인된 이번 이메일은 다음과 같이 발신인 등이 정상적인 크리스마스 축하 카드처럼 교묘하게 위장되어 있으며, 악성코드가 첨부파일에 압축된 상태로 포함되어 존재한다.

보낸 사람 : e-cards@123greetings.com
메일 제목 : You have received a Christmas Greeting Card!
첨부 파일 : Christmas Card.zip (382,011 바이트)

이메일 본문에는 다양한 플래시 파일이 링크되어 보여질 수 있다.

http://c.123g.us/flash/branded_loader.swf
http://i.123g.us/c/edec_c_newjingle/card/113366.swf
http://i.123g.us/c/edec_c_newjingle/card/113413.swf
http://i.123g.us/c/edec_c_newjingle/card/105278.swf

이메일에 첨부되어 있는 압축파일(Christmas Card.zip) 내부에 Christmas Card.chm(공백) .exe 이름의 실행 파일이 포함되어 있다.

압축 해제 후 사용자가 보기에 .chm 확장자 이후 약 60여개의 공백을 포함하고 있어 실행파일(exe)이 아닌 것처럼 오인하도록 위장된 상태이다.

압축 내부에 포함된 악성코드 파일은 2009년 12월 23일 날짜로 등록된 것을 확인할 수 있으며, 아이콘은 크리스마스 트리 장식 모양을 하고 있다.

해당 파일이 실행되어 컴퓨터가 감염될 경우 시스템 폴더에 wmimngr.exe, wpmgr.exe 라는 이름의 2개의 파일이 생성된다.

실행된 악성코드는 SMTP 를 통해서 Mass Mailer 기능 등이 수행된다.

해당 악성코드들은 nProtect 보안 제품에 치료 기능을 추가할 예정이므로, 인터넷 사용자들은 패턴 업데이트를 항시 최신 버전으로 유지할 수 있도록 설정하고, 실시간 감시 등을 활성화 하는 노력이 필요하다.