□ 개요 o 악성코드를 감염시킬 목적의 이카드(e-Card)를 가장한 스팸메일이 다량으로 유포되고 있어 주의가 요구됨 - 해당 스팸메일은 영문으로 누군가가 당신에게 “인터넷 카드”를 보냈다고 알리고, 카드 내용을 보기 위해서 특정한 사이트로의 접근을 유인하는 내용으로 구성되어 있음 □ 관련 취약점 및 악성 행위 o 공격에 악용되는 취약점 - MS06-014: MS 데이터 접근 컴포넌트 취약점 - MS06-057: MS 윈도우 탐색기 원격코드 실행 취약점 - 애플사 퀵타임 7.1.3이하의 버전에서 RTSP(Real Time Stream Protocol) URL처리 취약점 - WinZip(압축유틸리티) 10.0 이하의 버전에서 임의명령 실행취약점 o 상기 취약점에 대한 보안패치를 하지 않은 사용자는 스팸메일의 본문에 있는 링크를 클릭하면, 악성코드가 자동 설치되고 아래와 같은 악성 행위가 발생 - MS 윈도우 개인 방화벽 우회, 자기은폐 기능 - 감염된 PC에 저장되어 있는 이메일 주소를 추출하고, 각 이메일 주소에 e-Card를 가장한 스팸메일 발송 - 추가 악성코드 다운로드, 실행 및 DDos 등 예상 □ 대응책 o 영문 제목의 “e-카드” 메일이 수신되면, 메일 본문에 있는 링크를 클릭하지 않도록 주의 ※ 메일제목 및 내용 예는 아래와 같으며, 아래 유형 외에 다른 형태의 유형도 확인되고 있음 ☞ 스팸 메일 제목 예 - Thank you ecard, - Animated card, - Greeting ecard, - Musical e-card - Movie-quality e-card, - Thank you postcard, - Funny postcard , - Birthday postcard - 제목없음 ☞ 스팸 메일 내용 예 Hi. Colleague has sent you a greeting ecard. See your card as often as you wish during the next 15 days. SEEING YOUR CARD If your email software creates links to Web pages, click on your cards direct www address below while you are connected to the Internet: http://88.80.139.10/?55844a4912b62c4232c3a9ebeed43 (URL주소는 가변적) Or copy and paste it into your browsers "Location" box (where Internet addresses go). We hope you enjoy your awesome card. Wishing you the best, Webmaster, BlueMountain.Com o 보안 취약점이 내재된 프로그램에 대한 보안패치 실시 - MS06-014, MS06-057: 윈도우 보안 업데이트 실행(시작>모든프로그램>WindowsUpdate) - Apple QuickTime Player 7.1.3이하의 버전: 참고 사이트의 [1]에서 보안 패치 다운로드 및 설치 - WinZip 10.0이하의 버전: 참고 사이트의 [2]에서 보안 패치 다운로드 및 설치. o 백신 사용자의 경우에는 룰 패턴을 최신으로 업데이트 실시 [참고사이트] [1] http://www.securityfocus.com/bid/21829/solution [2] http://www.winzip.com/wz7245.htm [F.A.Q] Q : e-Card를 위장한 스팸메일을 열람한 사용자PC에 악성코드에 감염되면 생기는 1차적인 증상에는 무엇이 있습니까? A : 인터넷사용자가 인지할 수 있는 기본적인 현상으로는 메일본문에 있는 링크를 클릭하여 악성코드 에 감염되면 아래와 같은 화면을 보실 수 있습니다. Q : 메일을 보기만 해도 악성코드에 감염되나요? A : 메일을 열기만 한 상태에서는 감염되지 않습니다. 아래의 보안취약점을 최신으로 패치하지 않은 상태에서 메일본문에 있는 링크를 클릭한 경우에 감염이 됩니다. - MS06-014: MS 데이터 접근 컴포넌트 취약점 - MS06-057: MS 윈도우 탐색기 원격코드 실행 취약점 - 애플사 퀵타임 7.1.3이하의 버전에서 RTSP(Real Time Stream Protocol) URL처리 취약점 - WinZip(압축유틸리티) 10.0 이하의 버전에서 임의명령 실행취약점 Q : 이번에 발생한 스팸메일을 메일필터 등으로 차단하여 피해를 예방하는 방법은 없습니까? A : 일반적인 스팸메일은 메일제목 등을 필터링하면 스팸을 방지할 수 있습니다. 이번 악성 스팸메일 의 경우도 위에 언급한 메일 유형에 대한 필터를 통하여 메일유입을 어느정도 방지할 수 있을 것 으로 보입니다. 그러나, 제목과 본문 내용이 시간이 지남에 따라 다양하게 바뀌고 있으므로, 이러한 방법을 통한 예방에는 한계가 있을것으로 보입니다. Q : 메일 본문에 있는 링크를 클릭하여 악성코드 감염이 의심되면, 어떻게 조치를 취해야합니까 ? A : 백신업데이트를 하지 않은 사용자는 최신으로 백신업데이트를 실시하고 PC 전체를 진단하여 치료하시기 바랍니다. 만약 백신으로 검사 및 치료한 후에도 PC가 이상 현상을 보이면 한국정보보호진흥원 인터넷침해사고대응지원센터(국번없이 118)로 전화를 하시면 친절하게 도와줄 것입니다. Q : 백신 프로그램을 사용하지 않는 경우에 치료할 방법은 없는 건가요? A : 감염될 수 있는 악성코드는 다양할 가능성이 있어, 모든 감염PC에 획일적으로 적용할 수 있는 조치방법은 어려운 상황입니다. 한국정보보호진흥원 인터넷침해사고대응지원센터(국번없이 118) 로 전화를 하시면 친절하게 도와줄 것입니다. 출처 한국정보보호 진흥원