유명 업체를 가장한 영문 스팸과 악성코드 주의
안녕하십니까? 이스트소프트 알약 보안대응팀입니다.
최근 해외 유명 업체들을 사칭한 영문 스팸메일이 증가하고 있습니다. 구글의 채용, 트위터의 초대장, Hallmark 전자 카드 도착 메일, hi5 친구 맺기 내용으로 위장한 것이 특징이며 이 스팸메일에 첨부된 파일은 윈도우 시작시 자동실행, 시스템 설정 변경, 이동식 디스크 (USB 메모리 등) 감염, 키로거(KeyLogger) 등의 기능을 수행하는 악성코드 입니다. 이미 알약에서는 V.WOM.Prolaco.cr, V.TRJ.Tatters-A라는 진단명으로 업데이트를 완료해 현재는 해당 악성코드에 대한 진단 및 치료가 가능하며 실시간 감시를 통해 충분히 예방 가능합니다. 또한, 계속 출현할 수 있는 변종에 대해서도 긴급 업데이트를 실시하고 있으니 항상 알약의 최신 DB 사용을 권장합니다.
<해외 유명 업체를 사칭해 발송하는 스팸메일들>
[감염증상]
- 아래의 경로에 악성코드 파일 복사WINDOWS\system32\GoogleUpdate.exeWINDOWS\system32\stacsv.exeDocuments and Settings\USER\Application Data\SystemProc\lsass.exe
- 아래의 경로에 레지스트리 값 추가HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4207UWF4-IXEP-UTPF-2TDE-6606643L1T10}
- 오류보고 서비스, 윈도우 보안 센터 서비스 종료 및 레지스트리 제거- 악성코드 프로세스 숨김- 이동식 디스크를 감염시키기 위한 autorun.inf와 실행 파일 생성- 키로거 기능- 스팸 메일 발송
[제거 방법]
현재 알약에서는 해당 악성코드를 V.WOM.Prolaco.cr과 V.TRJ.Tatters-A로 진단하고 있으며, 제거가 가능합니다.이미 V.WOM.Prolaco.cr과 V.TRJ.Tatters-A에 감염된 PC에서는 반드시 알약을 설치하여 최신DB로 업데이트 한 후 수동으로 검사를 실시해야합니다.
[예방 방법]
1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.3) "Jessica would like to be your friend on hi5!""You have received A Hallmark E-Card!""Thank you from Google!""Your friend invited you to twitter!"위의 4가지 제목으로 작성된 메일은 되도록 클릭하지 말고 삭제하며, 첨부파일은 절대로 실행하지 않습니다.