글로벌 보안 기업 안랩(구 안철수 연구소, 대표 김홍선, www.ahnlab.com)은 최근 자사 보안관제(원격) 담당 팀인 CERT의 이름을 사칭한 악성 메일이 지속적으로 유포되어 사용자의 주의를 당부했다.


발견된 악성 메일은 ‘ms12-076 변종공격!’이라는 제목으로 발송되었으며, 안랩 CERT(원격 보안관제팀)의 메일 주소를 사칭했다. ‘최근 MS가 보안 패치를 배포한 MS12-076의 변종이 발견되어 긴급 패치가 필요하다’는 내용과 함께 악성코드를 다운로드하는 URL을 삽입했다. 발신지 IP는 중국으로 확인되었다.

다운로드 링크를 실행 시 업데이트 설치 과정 창을 사용자에게 보여주지만 정상 윈도우 업데이트에서 제공하는 폰트나 안내문을 따르지 않으며, 실제 마이크로소프트의 디지털 서명으로 인증이 되어있지 않다. 가상환경 실행 여부를 탐지한 후, 가상환경이 아닐 시에는 정상과 악성 파일을 동시에 생성한다. 이 때 생성된 악성 실행 파일은 네트워크 접속 가능 여부 확인 후 네트워크에 접속해 외부에서 수신한 데이터로 파일 실행 혹은 명령을 수행하도록 설계되어있다.

현재 몇몇 기업에 악성 메일이 발송되었으며, V3로 해당 악성코드를 진단하고 있다. 사용자는 피해를 방지하기 위해 해당 제목의 메일을 열지 말고 바로 삭제하는 것이 안전하다. 또한 사용하는 백신 프로그램을 최신 버전으로 업데이트하는 것도 필수적이다.