20일 안랩의 월간 보안 보고서 ASEC리포트 최신호에 따르면 ‘당신과 함께 찍은 사진을 업로드 했다’라는 제목의 이 악성메일의 발신자는 자세한 주소 없이 ‘페이스북’으로만 표시된다.
본문에는 “새로운 사진이 앨범에 등록되었으니 확인하려면 첨부된 파일을 확인하라”는 내용이 적혀있다. 첨부된 zip파일의 압축을 풀면 ‘NewPhoto-in_albumPhto_.jpeg.exe’라는 그림 파일을 위장한 실행파일이 나온다.
해당 파일을 실행하면 실행파일 내부에 포함된 악성코드가 설치된다. 이 악성코드는 사용자 몰래 외부 특정서버와 통신하기 위한 포트를 개방한다. 즉, 외부 서버와 통신해 추가 악성코드를 다운로드 받거나 PC 내부에 저장된 정보를 외부로 유출할 수도 있다.
또 악성코드를 사용자의 레지스트리에 등록해 부팅 시에 자동으로 실행되도록 한다. 현재 안랩 V3는 해당 악성코드를 진단 및 치료하고 있다.
김홍선 안랩 대표는 “페이스북이나 트위터 등 사용자가 많은 유명 SNS의 관리자인 것처럼 위장해 악성메일을 보내 악성코드를 배포하는 방식은 첨부파일이나 내용을 다르게 해서 확산될 수 있다”며 “이런 피해를 방지하기 위해서는 의심스러운 메일의 첨부파일을 실행하는 것을 자제하고 백신을 최신 버전으로 업데이트 하는 것이 필요하다”고 말했다.
killpass@heraldcorp.com
