DHL 사칭 악성코드 첨부파일, 일단 실행하면 끝입니다.

DHL 배송서비스 메일을 가장한 악성코드에 관한 글을 읽었는데, 고맙게도? 저도 같은 메일을 받았습니다.

Ahnlab에서 이미 올라온 글이 있었고, 허위 DHL 운송 메일로 위장한 악성코드 유포 V3에서 Win-Trojan/Bredolab.37888.C, Win-Trojan/Bredolab.37376.B 등으로 진단을 한다고 하기에 치료도 잘 되고 별것 아닌가보다 했습니다. 그런데...

악성코드 첨부파일을 포함한 메일 원본입니다. DHL 운송서비스를 사칭하고 있습니다. 메일 내용은 첨부파일을 열어볼 것을 유도하고 있고 실제 악성코드는 첨부파일에 포함되어 있습니다.

첨부파일은 zip 형식의 압축파일이며, 압축을 풀면 엑셀문서와 같은 아이콘으로된 실행파일이 한 개 만들어집니다.
이 두개의 파일은 V3 lite를 이용하여 수동검사를 실행하였지만 바이러스나 악성코드로 진단하지 않았습니다.

하지만, d9cb49cf5.exe 파일을 실행하니 드디어 본색을 드러내기 시작합니다. pc Antispyware 2010 이라는 악성프로그램이 작동하면서 컴퓨터가 악성코드에 감염되었다는 경고 메시지를 보여주기 시작합니다.

애초에 바이러스나 악성코드로 진단하지 않았던 v3 lite가 d9cb49cf5.exe 파일이 실행되자 악성코드 감염을 진단하고 있습니다. 잠깐 사이에 74개의 악성코드가 발견되었는데, 이 과정에서 1분 후 컴퓨터가 강제 종료되는 메시지가 나타났습니다.

문제는 실행중인 악성코드 프로그램을 강제로 중지할 수가 없다는 것입니다. 작동중인 프로그램이나 프로레스 목록에 전혀 나타나지 않기 때문입니다. 다만, explorer.exe 프로세스를 강제로 중단하면 중지가 되는 것 같은데 그 상태에서 바이러스백신 프로그램을 돌려도 완전하게 치료하기가 쉽지 않습니다.

아래 그림을 보면 거의 모든 프로세스를 중지하였지만, 악성프로그램은 여전히 잘 작동하고 있습니다.

바이러스 검사를 실행하니 치료완료 되는 것도 있지만 여전히 삭제 실패로 나타나는 것들이 많고, 파일들 위치로 봐서는 치료하는 것이 결코 쉽지가 않아 보입니다.  더 심각한 것은 윈도우 시스템 파일까지 변경되는 것으로 봐서 일단 첨부파일을 실행한 다음에는 컴퓨터를 정상으로 돌리는 것이 상당히 힘들 것 같습니다.

DHL 운송 메일을 이용한 악성코드 유포가 아직 많이 발견되고 있는 것 같지 않아서 그나마 다행이지만, 혹시라도 같은 메일을 받았다면 호기심에 열어보지 말고 바로 삭제하는 것이 좋겠습니다.

일단 이 상태에서 가능한 치료를 하고 시스템복원 기능을 이용하여 정상으로 돌아오긴 했지만, 다른 컴퓨터에 감염되었을 때도 시스템복원 기능이 정상 작동한다는 보장은 할 수 없을 것 같습니다.