안녕하세요? 이스트소프트 보안대응팀입니다.

국내 BC카드의 이용대금 명세서 및 7월 이용대금 명세서를 가장한 악성코드 이메일이 유포되고 있어 PC 사용자들의 주의가 필요합니다. BC카드 회사에서 발송한 진짜 카드 명세서 이메일인 경우 해당 회사의 도메인 (bcbill@bccard.com)이 보낸 사람 주소로 되어 있지만 악성코드가 담긴 가짜 명세서 이메일인 경우 보낸 사람이 개인 이메일 주소로 기록되어 있습니다. 또한 '이용대금명세서'로 가장한 이메일의 경우 특정 카드회사로 나오지 않고 '카드명세서'라는 제목으로 유포중입니다. 보낸 사람이 bcbill@bccard.com 아닌 카드 명세서 및 출처가 분명하지 않는 명세서는 가짜이므로 받는 즉시 삭제하시기 바랍니다.

<비씨카드 이용대금 명세서로 가장한 악성코드 이메일>

<7월 이용대금 명세서로 유포중인 악성코드 이메일>

[감염 경로]

"이용 대금 명세서 보기"를 클릭하면 가짜 ActiveX 설치 유도 페이지가 나타나며, %WINDOWS% 폴더에 BA10.exe 악성코드 파일이 설치됩니다.

<가짜 카드 명세서의 악성코드 설치 화면>

[감염 증상]

1) 특정 사이트에 감염 PC의 MAC 주소와 악성코드 버전을 수집해 전송하며 명령 파일(cmd.xml)을 다운로드합니다.
추가적인 악성코드 다운로드나 명령 파일을 내려 받을 수 있습니다.
http://www.paXXXX.com/v2.0/cmd.php
http://www.k1X7.com/v2.0/cmd.php
http://www.kXX8.com/v2.0/cmd.php

<cmd.xml 파일 내용>

2) 아래 사이트에 지속적으로 접속을 시도합니다.
http://www.nXXXX.com
http://mail.nXXXX.com
http://comic.nXXXX.com
http://music.nXXXX.com
http://movie.nXXXX.com
http://photo.nXXXX.com

3) 윈도우 시작시 악성코드를 지속적으로 실행시키도록 레지스트리에 등록 합니다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[치료 방법]

알약을 설치하여 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 시켜주시기 바랍니다.
현재 알약에서는 BC카드 명세서 페이지에 접근하는 경우에 악성코드의 설치를 실시간 감시에서 진단명 V.TRJ.Streamtiger.367104, V.TRJ.Streamtiger.192000, V.DWN.KShow으로 차단하며, 이미 감염된 경우라도 진단 및 치료가 가능합니다.

[예방 방법]

※ 현재 악성코드를 다운로드 받는 서버들이 계속 활동 중이므로 주의가 요구됩니다.
1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.