포스팅 내용

악성코드 분석 리포트

포토메일로 유혹하는 악성 첨부파일 주의보

포토메일로 유혹하는 악성 첨부파일 주의보



my new photo ;) 제목의 악성메일 확산주의


마치 포토메일처럼 위장한 악성 이메일이 국내기업 및 대학 등 다양한 분야로 확산 중에 있어 각별한 주의가 필요합니다.


영문으로 작성된 이메일은 공통적으로 “my new photo ;)” 제목을 가지고 있으며, “photo.zip” 이름의 압축파일이 첨부되어 있습니다. 본문 내용은 조금씩 다르지만, 전반적으로 나의 새로운 사진(my new photo)이라는 표현이 함께 포함되어 있고, 변종에 따라 문구가 조금씩 다른 경우가 존재합니다.




▲ 포토메일로 위장한 악성파일 전파 사례들


이메일 발신자의 도메인은 다양하게 사용되었는데, 동일한 도메인을 이용한 경우도 발신지 IP 주소 소재지가 서로 달라 임의로 조작된 형태로 보입니다.


▲ 발신자가 조작된 것으로 의심되는 부분


첨부되어 있는 “photo.zip” 압축파일 내부에는 이미지 형식의 사진파일은 전혀 포함되어 있지 않고, “photo.exe” 이름의 실행파일이 포함되어 있습니다. 이 부분만 봐도 쉽게 악성파일로 짐작해 볼 수 있습니다.


▲ 이메일에 첨부된 압축파일 내부의 모습


이메일의 제목과 본문, 첨부파일명은 마치 사진처럼 사칭하고 있지만, 실제로는 악성 EXE 파일이 포함되었다는 것을 알 수 있습니다. 아이콘은 변종에 따라 다르지만 일부는 이미지 파일처럼 보이도록 교묘히 위장한 경우도 존재합니다.


이용자가 첨부파일의 압축을 해제하여 실행할 경우 이메일 계정정보 등이 외부로 유출될 수 있으며, 또 다른 이메일 주소로 악성파일 전파 매개체(Mass Mail Worm)로 악용될 위험도 있으므로 감염되지 않도록 각별한 주의가 필요합니다.


현재 최신 알약(Alyac) 제품 군에서는 해당 악성파일 변종들을 모두 탐지하고 치료할 수 있는 상태입니다.



티스토리 방명록 작성
name password homepage