파일 확장명 조작 및 파일 아이콘으로 눈속임을 하는 악성 파일로부터 조금이라도 속지 않는 방법으로 가장 기본이 "알려진 파일 형식의 파일 확장명 숨기기" 설정을 반드시 변경해야 한다는 점입니다.

Windows 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 항목에 체크된 상태로 설치되며, 이로 인하여 EXE 파일 확장명과 같이 일부 파일 확장명이 표시되지 않도록 설정되어 있습니다.

최근 확인된 Excel 문서 아이콘으로 위장한 악성 파일을 살펴보면 Windows 기본값에서는 파일 확장명이 표시되지 않는 문제로 파일 아이콘만으로 판단하면 문서 파일로 오해를 할 수 있습니다.

 

하지만 폴더 옵션의 "알려진 파일 형식의 파일 확장면 숨기기" 항목을 체크 해제한 경우 숨어있던 EXE 파일 확장명이 표시되어 문서 파일이 아닌 실행 파일(EXE)임을 쉽게 알 수 있습니다.

 

이번에 확인된 PO#9865575772015.exe 악성 파일<SHA-1 : d5888292ee36e28b2703ddb6d7b4894b863d934d - AhnLab V3 : Spyware/Win32.Limitail.R155225 (VT : 16/55)>은 이메일을 통해 전파되는 것으로 추정되며 Windows 기본값 사용자는 문서 파일로 생각하여 충분히 실행할 수 있으리라 생각됩니다.

만약 실행될 경우 일정 시간이 경과하면 해외 무료 웹 호스팅(webatu.com) 특정 계정을 통해 추가적인 악성 파일(legend0.exe) 다운로드를 시도하지만 테스트 당시에는 파일이 존재하지 않았습니다.

공격자 서버를 확인해보면 다양한 계정을 통해 다양한 유사 변종 파일 유포가 2015년 6월경부터 최근까지 진행하였던 것으로 보입니다.

참고로 안랩(AhnLab)에서 제공하는 Spyware/Win32.Limitail 악성코드에 대한 정보에 따르면 Excel 문서 아이콘을 가진 악성 파일에 감염된 경우 실행 중인 Windows 창 이름과 키로깅(Keylogging) 정보를 수집하여 외부로 유출하는 기능을 수행한다고 합니다.

 

그러므로 이메일 첨부 파일 형태로 수신된 문서 모양을 한 파일의 경우 폴더 옵션 변경을 통해 파일 확장명을 확인하여 실행 파일(EXE)인지 확인하시기 바라며, 매크로(Macro) 기능이 포함된 문서 포맷을 가진 악성 파일이 있다는 점을 명심하시고 의심스러운 메일 첨부 파일은 함부로 실행하지 않도록 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..