이메일에 정상파일과 같이 첨부돼 사용자가 열어보도록 유도하는 웜 바이러스가 발견됐다.
잉카인터넷에 따르면 27일 국내에 보고된 이 웜 바이러스는 'Your Information'이라는 이름의 제목으로 발견됐다.
기존의 이메일 웜과는 좀 다르게 첨부파일이 다수 포함돼 있으며, 메일 용량이 약 420K 정도로 큰 편이다.
메일 본문에는 아래와 같은 내용을 포함시켜 사용자가 첨부파일을 최대한 신뢰하도록 만들고, 정상 문서파일과 함께 있는 악성코드를 열어 보도록 유도한다. 보통 이러한 방식을 사회공학적 기법이라 말한다.
첨부파일에는 3가지 파일명의 PDF 문서가 존재하는데, 모두 정상적인 파일들로 내부에는 물품 배송관련 가격 문서 내용을 가지고 있다. 사용자는 이러한 정상 문서를 순차적으로 열어보는 과정에서 함께 첨부되어 있는 악성코드를 무심코 실행시킬 수 있다.
일반적으로 이메일의 첨부파일을 통해서 유포되는 악성 웜 파일은 독립적으로 존재하는 경우가 많기 때문이다.
'Grouped.pdf', 'Manual_Invoice.pdf', 'WriteDown.pdf'라는 이름의 첨부파일은 모두 정상적인 문서내용을 담고 있으며, 마지막에 보이는 access.exe 파일이 악성 웜 파일이다.
3가지의 PDF 문서파일은 모두 정상적으로 열리고, 비슷한 내용을 담고 있다. 또한 문서 내부에는 특정 회사의 이름과 도메인, 이메일 주소 등을 볼 수 있는데, 확인해 본 결과 현재 해당 사이트는 정상적인 웹 서비스를 하고 있지는 않았다.
Access.exe 파일은 TXT 문서 아이콘을 가지고 있기 때문에 동일한 문서파일로 착각하기 쉬워 사용자가 쉽게 실행을 하게 될 가능성이 높이다.
사용자가 웜 파일을 실행하게 되면 Error 라는 메시지 창이 화면에 출력된다. 이는 사용자로 하여금 파일이 정상적으로 실행되지 않은 것처럼 속이기 위한 악성프로그램의 실행과정 중에 하나이며, 정상적으로 E-Mail 웜 기능이 시작된 것이다.
오류 메시지 창이 출력된 후에 시스템 폴더에 다양한 이름의 웜 파일을 다수 생성시키며, 특정 사이트에서 다양한 웜 변종을 추가로 다운로드 하여 실행한다.
이 웜에 감염될 경우에는 이메일 발송으로 인해 인터넷 속도가 저하될 수 있으며, 자신의 주변사람들에게 악성프로그램을 유포시킬 수 있다. 또한 추가적인 악성코드 설치로 인해 예상치 못한 다양한 피해가 발생될 수 있다.