클라우드 백신으로 위장한 허위 백신 발견

전 세계적으로 악성코드의 급격한 증가는 이에 대응하기 위해 보안 업체들로 하여금 다양한 보안 기술들을 연구하고 발전시키게 되는 하나의 계기가 되었다.

이러한 보안 기술들의 괄목한 발전 중 하나로는 클라우드(Cloud) 기술을 안티 바이러스(Anti-Virus) 기술로 발전시켜서 발전 시킨 것이라고 볼 수 있다. 이러한 클라우드 기술이 적용된 사례로는 안철수연구소에서 개발한 ASD(AhnLab Smart Defense)를 들 수가 있다.

이렇게 클라우드 기술이 적용된 안티 바이러스 소프트웨어들이 널리 유행하기 시작하자 해외에서 제작된 허위 백신들 중에서도 클라우드라는 단어를 사용하여 정상적인 보안 소프트웨어 인 것으로 위장한 사례가 발견되었다.

해당 허위 백신은 시스템에 감염되면 아래 경로에 자신의 복사본을 OpenCloud Antivirus.exe(2,420,224 바이트)로 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Application Data\OpenCloud Antivirus\OpenCloud Antivirus.exe

그리고 아래 이미지와 같이 "OpenCloud Antivirus"라는 명칭으로 클라우드 기술을 적용한 정상적인 보안 제품으로 위장하고 있다.

해당 허위 백신은 감염과 동시에 시스템 전체를 검사하여 윈도우(Windows) 시스템에 존재하는 정상적인 파일들 다수를 악성코드에 감염된 파일로 허위 진단 결과를 보여주게 된다.

허위 진단 결과를 시스템 사용자에게 보여줌과 동시에 아래 이미지와 같이 시스템트레이(System Tray)를 통해 주기적으로 사용하는 시스템이 악성코드에 감염되었다는 허위 경고 문구를 보여주고 있다.

윈도우 시스템에 존재하는 정상 파일들을 악성코드라고 진단한 허위 진단 결과를 통해 해당 파일들을 치료하기를 시도하면 다른 허위 백신들과 유사하게 금전적인 결제를 유도하나, 테스트 당시에는 정상적으로 해당 웹 사이트에 접속 되지 않았다.

이 번에 발견된 클라우드 보안 제품으로 위장한 허위 백신은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakescanti.2420224

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.