Bredolab 변형 허위 안티 바이러스 설치

2009년 6월 경부터 한국으로도 유입되기 시작한 Bredolab 변형이 외국에서 제작된 허위 안티 바이러스(Anti-Virus) 소프트웨어를 다운로드 한 후 설치하는 것으로 ASEC에서 파악 되었다.

금일 ASEC으로 접수된 Bredolab 변형들을 분석하는 과정에서 해당 악성코드가 허위 안티 바이러스 소프트를 설치하여 다수의 악성코드에 감염된 것으로 컴퓨터 사용자에게 허위 정보를 제공한 뒤 해당 허위 안티 바이러스 소프트웨어를 구매하도록 유도하고 있는 것으로 분석되었다. 

해당 악성코드에 감염 되면 윈도우 시스템에 존재하는 정상 프로세스인 explorer.exe의 메모리 영역 일부에다 자신의 코드를 삽입하는 리모트 스레드 인젝션(Remote Thread Injection) 기능을 수행한다.

해당 악성코드가 자신의 코드를 정상적으로 삽입하게 되면 다시 윈도우 시스템에 존재하는 정상 파일인 svchost.exe을 메모리로 로드 시킨 후 해당 프로세스를 이용해 유럽에 존재하는 특정 시스템으로 접속을 시도하게 된다.

접속이 성공하게 되면 아래 이미지와 같은 PC Antispyware 2010이라는 허위 안티 바이러스 소프트웨어를 설치 파일을 다운로드 한 후 실행 하게 된다.

해당 PC Antispyware 2010이라는 허위 안티 바이러스 소프트웨어가 설치가 되면 다시 아래 이미지와 같이 사용하는 컴퓨터 시스템이 악성코드에 감염되었다는 메시지를 보여주며 사용자에게 허위 경고 창을 생성하게 된다.

생성된 허위 경고창을 클릭하면 아래 이미지와 같이 PC Antispyware 2010 허위 안티 바이러스 소프트웨어의 사용자 화면을 보여주게 되며 윈도우 시스템이 기본적으로 내장 하고 있는 윈도우 보안 센터와 유사한 이미지를 통해 정상적인 소프트웨어로 위장하고 있다.

그리고 해당 사용자 화면에는 사용하는 컴퓨터 시스템을 검사 중이라는 화면을 보여주나 실제 시스템을 검사하지 않으며 오히려 다수의 악성코드들이 시스템에서 발견되었으니 치료하라는 메시지를 보여주게 된다.

치료를 위해서는 정상적인 구입을 해야 된다는 안내 메시지를 보여준 후 위 이미지와 같이 유명한 컴퓨터 잡지들에서 인정 받은 정상적인 프로그램이라는 문구와 이미지를 표기 해두고 있다.

그리고 해당 소프트웨어의 정상적인 사용을 위해서는 1년에 49.95 달러(한화 약 2만 5천원)의 금액을 지불하는 표기도 같이 해두고 있다.

결국 Bredolab 트로이목마의 제작자는 해당 악성코드의 유포를 통해 감염된 컴퓨터 시스템으로 허위 안티 바이러스 소프트웨어를 설치한 후 정상적인 결제 유도를 통해 금전적인 이득을 획득하기 위한 목적으로 제작된 것이다.