모르는 사람에게서 수신한 메일에 첨부 파일이 들어 있을 경우에 대처하는 요령 "하나"
○ 마이크로소프트의 Hotmail 계정으로 메일을 받았는데 정체를 알 수 없는 사람이 발송한 것입니다.
이런 메일은 대부분 스팸 필터에 등록된 문구를 사용하기 때문에 계정 소유자의 설정에 따라서 자동 삭제되거나, 스팸 폴더로 별도 분류되기도 합니다.
- Beverly Wang
- "Please this is the second mail ..."
- 첨부 파일: "PO-PRODUCT9988-PDF.rar"
본문 내용을 보면 소속, 연락처 정보 등을 자세하게 기재하고 정중한 인사말로 마감하고 있습니다. 읽지 않고 그냥 삭제하기에는 뒤끝이 있는 잘 만든 스팸 메일입니다. 본문의 내용만으로는 메일의 확실한 정체 파악이 불가능하게 만들었습니다. 뒤탈 없이 삭제하기 위하여 첨부된 파일을 조사할 것입니다.
첨부 파일 이름이 "PO-PRODUCT9988-PDF.rar"입니다. 문서 확장자인 PDF 파일을 RAR 포맷으로 압축했다는 느낌을 주는 파일이니까 PDF 문서를 풀어서 응용 프로그램으로 열어 전달 내용을 확인하라는 뜻을 담고 있습니다. 그렇게 유혹하는 것입니다. 응용 프로그램으로 확인하는 순간 사용자의 통제를 벗어납니다.
메일의 본문에 첨부된 파일을 마우스 오른쪽 버튼으로 눌러 다운로드를 시행합니다.
<저장> 버튼 옆의 기호(∧)를 눌러서 <다른 이름으로 저장>을 선택하고 내가 정해 놓고 사용하는 다운로드 폴더를 지정하였습니다.
저장 버튼을 누르는 순간 윈도우 10에 내장되어 실시간 감시 기능이 켜져 있는 "Windows Defender"가 다운로드한 첨부 파일을 <검역소>로 이동시켰습니다.
1. 첨부된 파일은 바이러스에 감염된 것입니다.
2. 바이러스 백신의 실시간 감시 기능이 정상 작동하고 있습니다.
작업표시줄 오른쪽 끝 <알림 센터>의 페이지에서 작업 과정을 확인합니다.
<바이러스 및 위협 방지> 페이지를 열면 "위협이 발견됨" 항목이 있고 파일의 본문 바이너리/텍스트 코드를 보여 줍니다.
1. "자세한 정보"를 누르면 마이크로소프트 서버로 인터넷 연결되어 발견된 바이러스 종류를 확인할 수 있습니다.
"Trojan: Win32/Wacatac.D!ml"
해당 바이러스에 대한 정보가 2020년 1월 13일 등록되었습니다.
윈도우 업데이트를 게을리하지 않은 효과입니다.
※ "Windows Defender"의 설정은 개인마다 다를 수 있기 때문에 최신 정보를 업데이트를 하였더라도 검색이 안될 수도 있습니다.
2. "위협이 발견됨" 페이지 하단의 <작업> 버튼을 누르고 "제거"를 선택하여 <검역소>에 보관 중인 첨부 파일을 완전하게 제거하거나, 바이러스로 오인하였다는 확신이 있을 경우 "디바이스에서 허용"을 선택할 수도 있습니다.
○ 첨부한 파일이 실시간 검사로 바이러스 검출이 안되거나, 다운로드한 후 해당 파일에 대한 개별적인 바이러스 검사로도 안전하다는 결과가 나올 경우, 100% 정상 파일로 단정하기 전에 온라인 바이러스 검사 혹은 바이러스 샘플 제출 과정을 거쳐서 전문 기관의 정확한 진단 테스트를 무료로 받을 수 있습니다.
1. VirusTotal
"www.virustotal.com"에 접속하면 의심스러운 파일을 서버에 업로드하여 실시간 검사 결과 확인이 가능합니다. 수십 개의 바이러스 검색 엔진이 동시에 실행되어 하나의 페이지에 모든 정보를 알려 줍니다.
개인 정보 입력 없습니다. 회원 가입 없습니다. 단순하게 파일만 업로드하는 것입니다.
2. Kaspersky Virus Desk
VirusTotal과 마찬가지로 의심 파일을 업로드하여 Kaspersky의 안티바이러스 검사만 진행합니다.
개인 정보 입력 없습니다. 회원 가입 없습니다. 단순하게 파일만 업로드하는 것입니다.
https://virusdesk.kaspersky.com/
3. Symantec에서 제공하는 바이러스 샘플 서비스입니다.
업로드할 때 "이름, 성, 메일 계정" 입력 필수입니다. 해당 정보와 함께 파일을 업로드하면 제공한 메일 계정으로 Symantec의 바이러스 검색 결과를 전송해 줍니다. 바이러스가 발견될 경우 현재 상황, 오류, 해결 방법 등에 관한 단편적인 설명과 함께 자세한 내용을 알 수 있는 페이지로의 링크를 제시합니다.
https://www.symantec.com/security-center/submit-virus-sample
윈도우 10에 "Windows Defender"가 실시간 감시 기능이 활성화되어 있고 윈도우 업데이트 최신 배포본까지 반영되어 있는 노트북으로 이 메일의 첨부 파일을 다운로드하여 저장하고 윈도우 디펜더로 개별검사까지 진행하였는데, 아무런 반응 없이 깨끗한 파일로 검사 결과 나왔습니다. 현재 첨부 파일은 추가 조사를 위하여 별도 보관 중입니다. 바이러스 검사 조건이 다른 컴퓨터와 다르기 때문일 것이라고 추측입니다.
첨부 파일에 대한 바이러스 온라인 검사를 하고 파일 제출하고 이 글을 작성하면서 해당 노트북을 사용하여 클라우드에 올린 감염된 파일의 추가 정보를 파악하기 위하여 다운로드하니 바이러스로 인식하고 파일을 삭제합니다. 그 사이에 "Windows Defender"의 바이러스 데이터 베이스가 업데이트되었을 리는 없는 데 ...
"PO-PRODUCT9988-PDF.rar" 첨부 파일은 "PO-PRODUCT9988-PDF.scr"을 압축한 것입니다. SCR은 자체로 실행 가능한 압축 파일이어서 내부에 바이너리 파일과 이미지 파일 그리고 확장자를 변조한 배치 파일 등이 10여 개 들어 있습니다. SCR은 윈도우 화면 보호기용 확장자로 바이러스 유포 목적으로 많이 사용하고 있습니다.
일반적으로 EXE, SCR 등의 파일은 마우스로 더블 클릭을 해야 실행이 되지만, 마우스의 설정을 변경하여 1회의 클릭으로 2회의 클릭을 대체하게 만들거나, 사용자는 의도하지 않았는데, 마우스 버튼의 고장으로 더블 클릭이 실행되는 사례도 있습니다. 기타 다른 설정이나 사용 환경 변경으로 그와 같은 시스템 변조가 가능합니다.
댓글