카드 거래 내역’ 사칭 악성코드 주의!

카드 거래 내역’ 사칭 악성코드 주의! AhnLab / 2013-04-04   요즘 신용카드 청구서를 이메일로 받는 사람이 많다. 편리하게 거래내역을 확인할 수 있고 적잖게 할인도 해주기 때문이다. 하지만 최근 특정 금융사의 카드 거래 내역으로 위장한 이메일 첨부파일에서 개인정보를 빼내는 악성코드가 발견됐다. 근래 들어 금융권 및 이동통신사를 사칭한 악성 스팸 메일이 지속적으로 발견되고 있는 만큼 사용자들의 각별한 주의가 요구된다.    [그림 1] 금융사 카드 거래 내역 안내 메일로 위장한 스팸 메일   ‘3월 카드 거래 내역’이라는 제목의 메일은 겉보기엔 거래 내역을 안내하는 정상적인 메일로 보이지만, 사실은 해당 금융사를 사칭한 악성 스팸이다. 이 같은 악성 스팸 메일은 정상 메일과 매우 흡사하게 제작되어 사용자들의 의심을 피한다. 해당 메일의 첨부파일 중 .scr 파일을 다운로드해 압축을 해제를 하면 아래 [그림 2]와 같은 html 파일이 확인되지만, 파일의 실제 확장자는 html이 아닌 .scr이다.    [그림 2] html 파일로 가장한 악성코드   html 파일로 가장한 scr. 파일을 실행하면 특이한 점을 발견할 수 있다. 정상적인 프로그램과 동시에 악성코드도 실행되는 것이다.   물론 인터넷 익스플로러(IE)는 1차적으로 악성 행위를 차단한다. 그러나 사용자가 차단된 콘텐츠를 허용하는 행위를 통해 설치가 진행되면 악성 프로그램은 정상적인 다른 프로그램과 함께 실행이 진행된다. 정상적인 프로그램을 앞세우고 있어 사용자들은 이 같은 다운로드 절차에 대해 의구심을 제기하기가 쉽지 않다.   정상적인 프로그램의 설치가 완료되면 [그림 3]과 같이 개인정보 입력을 유도하는 또다른 창이 뜬다. 입력된 개인정보는 공격자에게 전송될 것으로 보인다.    [그림 3] 개인정보 입력 요구 창   악성코드는 생성된 파일을 레지스트리에 등록해 악의적인 행위를 지속할 수 있도록 한다. 또한 중국에 위치한 특정 서버와 연결되며 특정 파일을 다운로드한다. 이 같은 악성코드에 감염되지 않으려면 발신인이 명확하지 않거나, 확인되지 않은 첨부파일이 포함된 메일 등은 주의해야 한다.   이호웅 안랩 시큐리티대응센터장은 “카드회사 이용 대금 명세서, 쇼핑몰 홍보 메일, 온라인 쇼핑몰 배송 안내 메일 등을 사칭한 악성 메일이 많다. 이는 정상적인 요금 명세서 형태를 취하고 있어 사용자가 속기 쉽다”며 “사용자들은 윈도우 운영체제나 백신 프로그램을 필수적으로 설치하고 최신 엔진을 유지해야 한다”고 말했다.   해당 악성코드는 V3에서 진단 및 치료가 가능하다.@