안철수연구소(대표 김홍선)는 최근 북한과 미국, 천안함 등 정치적 이슈로 위장해 사용자를 현혹한 뒤 악성코드를 설치하는 사례가 국내에서 발견됐다고 26일 발표했다.
이 악성코드는 이메일에 첨부 파일로 전파되며, 파일명은 'NKorea demands its own probe into ship sinking.RAR' 또는 'US announces new sanctions against North Korea_doc.RAR'이다. 압축을 풀어 파일을 실행하면 MS 워드문서(.DOC)가 열리지만 실제로는 '.SCR' 확장자를 가진 악성코드가 실행된다.
이후 시작 프로그램에 'testest.doc' 'IEXPL0RE.EXE' 'IEXPL0RE.LNK' 'msapi.sys' 파일이 생성된다.
'testest.doc' 파일은 'SEOUL, South Korea-North Korea's military renewed calls to conduct ~'라는 내용이 담겨있다. 'IEXPL0RE.EXE' 파일은 중국의 특정 IP로 접속해 다른 악성코드를 내려받아 자동 실행하는 기능을 갖고 있다. 'IEXPL0RE.LNK' 파일은 'IEXPL0RE.EXE'의 바로가기 아이콘이며, 'msapi.sys' 파일은 키보드로 입력되는 정보를 저장하는 기능이 있다.
관련기사
- NHN "미투데이 악성코드 '조치 완료'"2010.07.26
- '미투데이' 통한 악성코드 첫 발견…"좀비PC 양산"2010.07.26
- 사이버 공격 '정교화·조직화'…"포괄적 보안 관리 필요"2010.07.26
- 재산·금품 노리는 악성코드 증가했다2010.07.26
천안함 관련 악성코드는 지난 3월에도 등장한 바 있다. 'Dozens missing after ship sinks near North Korea'라는 메일 제목에 악성코드를 유포하는 웹사이트 주소가 링크돼 있었다.
이런 악성코드의 피해를 입지 않으려면 수신인이 불명확한 이메일 수신 시 본문에 포함된 웹사이트 링크를 함부로 클릭하지 말아야 한다. 사용자들은 PC에 안티바이러스 프로그램을 설치, 악성코드 감염을 예방·치료할 수 있다.
