해외 시각으로 2010년 4월 21일 미국 보안 업체인 맥아피(McAfee)에서 정상 윈도우(Windows) 시스템 파일인 svchost.exe를 W32/Wecorl.a 악성코드로 잘못 진단하는 오진(False Positive) 사고가 발생한 사실이 SANS의 블로그 "McAfee DAT 5958 Update Issues"와 일부 국내 기사 "‘PC잡는 백신’ 업데이트하니 부팅 안돼"를 통해서 알려졌다.
이러한 맥아피의 오진 사고를 이용하여 구글(Google) 검색 엔진에서 검색 순위를 상위로 조정하여 악성코드를 유포하는 웹 사이트로 컴퓨터 사용자들을 유도하는 블랙햇(BlackHat) SEO(Search Engine Optimization) 기법을 통해 허위 백신의 유포를 시도한 사례가 영국 보안 업체인 소포스(Sophos)의 블로그 "Scareware hackers exploit McAfee false positive problem"를 통해 알려졌다.
이번에 구글 검색 엔진을 통해 유포된 허위 백신은 아래 이미지에서와 같이 이번 맥아피의 오진 사고와 관련된 단어들을 검색하게 될 경우에 악성코드를 유포하는 웹 사이트를 검색 첫 번째 페이지로 위치하여 컴퓨터 사용자들의 방문을 유도하였다.
해당 웹 사이트 링크를 클릭하게 되면 아래 이미지와 같이 경고창을 보여주며 사용하는 시스템에 악성코드가 감염되었다는 거짓 정보를 보여준다.
그리고 확인을 클릭하게 되면 아래 이미지와 같이 허위로 제작된 백신의 컴퓨터 검색이 진행되며 사용하는 시스템에 심각한 악성코드가 감염되어 있다는 것을 보여주며 사용자들에게 거짓 정보들을 보여주게 된다.
사용하는 컴퓨터의 검색 결과가 종료되면 아래 이미지와 같은 경고창을 보여주며 윈도우 시스템에서 사용하는 정상 파일인 explorer.exe가 악성코드에 감염되었음으로 치료하여야 한다는 거짓 메시지로 컴퓨터 사용자들을 현혹하게 된다.
위 이미지의 "Protect" 버튼을 클릭하게 되면 아래 이미지에서와 같이 setup_build30_195.exe(353,280 바이트)의 파일을 다운로드하여 실행 할 것을 유도하고 있다.
그러나 실제로 해당 파일을 다운로드하여 실행하게 되면 아래 이미지에서와 같이 해외에서 제작된 허위 백신이 시스템에서 설치되며 사용하는 시스템에 존재하는 정상 파일들 다수를 악성코드에 감염 된 것으로 거짓 검색 결과를 보여주며 금전 결제를 유도하게 된다.
이렇게 맥아피의 오진 사고를 구글 검색 엔진의 검색 결과를 조작하여 유포를 시도하는 허위 백신은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Fakeav.353280
Win-Trojan/Fakeav.3159552
Win-Trojan/Fakeav.336896
이렇게 검색 웹 사이트를 통해 접속하는 악의적인 웹 사이트를 통한 악성코드의 감염을 예방하기 위해서는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 이러한 보안 위협으로 인한 피해를 사전에 예방하는 것이 중요하다.
'악성코드 정보' 카테고리의 다른 글
다시 등장한 페이스북 관리자로 위장한 Bredolab 변형 (0) | 2011.10.27 |
---|---|
아마존 쇼핑몰로 위장한 성인 약품 스팸 메일 (0) | 2011.10.27 |
CNN 뉴스 메일 위장하여 허위 백신 유포 시도 (0) | 2011.10.27 |
어도비 플래쉬 플레이어 제로데이 취약점 악용 악성코드 (0) | 2011.10.27 |
파이어폭스 제로 데이 취약점 분석 (0) | 2011.10.27 |
댓글